Mehr Daten über Schwachstellen mit echten Risiken in Verbindung bringen

Um der zunehmenden Anzahl von Cyber-Bedrohungen zu begegnen, verlassen sich viele Unternehmen derzeit auf Kennzahlen von Drittanbietern, die sie mit einer Skala von Risiken in Verbindung bringen. Bei diesem Verfahren fehlt oft der Kontext, um die für jedes einzelne Unternehmen spezifischen Risiken zu verstehen – und wirklich zu reduzieren.

Doch woher weiß man bei so vielen möglichen Sicherheitslücken, welche man vorrangig behandeln soll? Der Versuch, alle Schwachstellen zu beseitigen, ist praktisch nicht nur unmöglich, sondern kann auch dazu führen, dass Ressourcen von den Schwachstellen abgezogen werden, die das größte Risiko für die betreffende Organisation darstellen.

Die Strategie, sich auf die kritischsten individuellsten Schwachstellen zu konzentrieren, scheint die solideste zu sein. Jedoch wird sie nicht unbedingt so befolgt, wie es eigentlich sein sollte. Eine kürzlich durchgeführte Umfrage von Vulcan Cyber hat gezeigt, dass IT-Sicherheitsteams nicht genug tun, um Schwachstellendaten mit echten Geschäftsrisiken zu korrelieren. Dies hat zur Folge, dass viele Unternehmen nicht richtig vorbereitet sind und ungeschützt bleiben.

“IT-Sicherheitsteams arbeiten hart daran, ihre Organisationen zu schützen. Jedoch sind Bedrohungsdaten und traditionelle Metriken wie Schwachstellenbewertungen allein nicht in der Lage, die geschäftsspezifischen Erkenntnisse zu generieren, die für einen umfassenden Schutz erforderlich sind. Sicherheits-Teams brauchen internes Know-how, Wissen über Prozesse und Werkzeuge, um die Risiken zu priorisieren, die für das Unternehmen am wichtigsten sind”, betont Yaniv Bar-Dayan, Mitbegründer und CEO von Vulcan Cyber. Die Umfrage ergab, dass 86 % der Befragten sich auf Daten von Drittanbietern über den Schweregrad von Risiken verlassen, um Prioritäten für die Behebung von Schwachstellen zu setzen, und dass weitere 70 % auch Bedrohungsdaten von Drittanbietern nutzen.

Die Studie zeigte, dass die meisten Befragten die Schwachstellen nach Infrastruktur (64 %), nach Geschäftsfunktionen (53 %) und nach Anwendungen (53 %) gruppieren. Eine Risikopriorisierung, die nur mit Infrastruktur- und Anwendungsgruppen in Verbindung gebracht wird, ist allerdings nicht relevant, ohne den Anlagenkontext zu berücksichtigen, betont Vulcan Cyber.

In den Bereichen der Cybersicherheit werden unterschiedliche Modelle zur Einstufung und Priorisierung von Sicherheitsmängeln verwendet. Etwa 71 % der Befragten gaben an, dass sie das Common Vulnerability Scoring System (CVSS) verwenden, einen freien und offenen Industriestandard, der den Schweregrad von Sicherheitslücken bewertet. Weitere 59 % verwenden den OWASP Top 10-Standard, während 47 % auf Scan-Lösungen, 38 % auf das CWE Top 25 und 22 % auf das Bespoke Scoring Model zurückgreifen. Etwa 77 % der Befragten gaben an, dass sie mindestens zwei dieser Modelle zur Bewertung und Priorisierung von Schwachstellen verwenden.

Die Umfrage zeigte außerdem, dass sich diese Methoden als unzureichend erweisen und dass die derzeit von den Unternehmen angewandten Verfahren zur Priorisierung von Schwachstellen generell nicht übereinstimmen. Für 78 % der Befragten sollten Schwachstellen mit hoher Priorität niedriger eingestuft werden, während 69 % der Befragten angaben, dass Schwachstellen auf niedrigeren Positionen höher eingestuft werden sollten. Über 80 % der Befragten sind der Meinung, dass sie von einer größeren Flexibilität bei der Priorisierung von Schwachstellen auf der Grundlage ihrer spezifischen Risikoumgebung profitieren würden.

“Sicherheitsteams brauchen mehr Kontrolle, um Cyber-Risiken präziser zu bewerten, zu priorisieren und einzudämmen. Für das risikobasierte Schwachstellenmanagement fehlt ein gemeinsamer Rahmen, was die Fähigkeit zur Zusammenarbeit im Bereich der Cybersicherheit und zur effektiven Risikominderung einschränkt. Infolgedessen ist der Cyberschutz in den meisten Branchen nach wie vor unzureichend; die Unternehmen bleiben anfällig”, betont Bar-Dayan.

Ein großer Teil der Befragten (54 %) gab an, dass die größte Sorge die Preisgabe vertraulicher Daten infolge von Anwendungsschwachstellen ist, gefolgt von problematischer Authentifizierung (44 %), falschen Sicherheitseinstellungen (39 %), unzureichender Protokollierung und Überwachung (35 %).

Vulcan Cyber hat einige kostenlose Open-Source-Tools zusammengestellt, die bei der Bewertung und Minderung von Cyberrisiken helfen können:

1. Anwendungs-Scanner

Statische Anwendungssicherheitsprüfung (SAST): Befolgt Kodierungsrichtlinien und -standards, ohne Code auszuführen. Vergleicht den Anwendungscode mit bekannten Schwachstellenbibliotheken und berichtet über Schwachstellen, die behoben werden müssen. Einige der besten kostenlosen SAST-Tools sind Bandit, NodeJsScan und SonarQube.

Dynamische Anwendungssicherheitstests (DAST): Führt die Anwendung aus, um Funktionstests durchzuführen und Schwachstellen zu erkennen. Die Ausführung ist wichtig, da einige Schwachstellen nur dann auftreten, wenn die Anwendung ausgeführt wird. Die beliebtesten kostenlosen DAST-Tools sind Archery, Arachni und OWASP ZAP.

Dependency Scanner: Im Zeitalter verteilter Architekturen ist es wichtig, nach Schwachstellen im Code Dritter zu suchen. Die drei bekanntesten kostenlosen Abhängigkeitsscanner sind OWASP Dependency-Check, Snyk und WhiteSource Bolt für GitHub.

Selbstschutz für Laufzeitanwendungen (RASP): Nutzt die Anwendung selbst, um ihr Laufzeitverhalten kontinuierlich zu überwachen und so Schwachstellen ohne menschliches Zutun zu identifizieren und zu entschärfen. Zwei kostenlose RASP-Tools: Sqreen und Wapiti.

2. Netzwerk- und Infrastruktur-Scanner: Identifizieren Schwachstellen in Netzwerken und angeschlossenen Geräten, wie ungeschützte Ein- und Ausgänge, unbekannte Geräte, falsche Sicherheitseinstellungen und fehlende Software-Updates. Das bekannteste Tool in dieser Kategorie ist OpenVAS, das mehr als 50.000 Schwachstellentests enthält. Aber es gibt auch Alternativen wie Wireshark, Nmap, Qualys Community Edition, Burp Suite Community Edition, W3af und Vuls.

3. Prioritäten-Repositories: Ordnen die Schwachstellen nach ihrem technischen Schweregrad. Die wichtigsten Quellen sind Vulcan Free, CVE Details, WPScan Vulnerability Database, CERT-EU, Zero Day Initiative, Vulners und Rubysec.

4. Werkzeuge zur Behebung von Schwachstellen: Öffentliche Datenbanken und Repositories zu Schwachstellen enthalten oft Empfehlungen der Hersteller zur Behebung der Schwachstellen – in der Regel einen Link zu Patches.

5. Automatisierungslösungen: Mit Open-Source-Tools können verschiedene Aspekte der Schwachstellenbeseitigung automatisiert werden, von der Eröffnung technischer Gespräche bis hin zu automatischen Konfigurationsänderungen. Einige bekannte Lösungen sind Redmine, OpenProject, Rocket.Chat, Comodo ONE Windows Patch Management, Opsi, Patch Manager Plus Free Edition, Foreman und CFEngine.