![\"\"](\"https:\/\/network-king.net\/wp-content\/uploads\/2022\/01\/vulneravel1.jpg\")
In den Bereichen der Cybersicherheit werden unterschiedliche Modelle zur Einstufung und Priorisierung von Sicherheitsm\u00e4ngeln verwendet. Etwa 71 % der Befragten gaben an, dass sie das Common Vulnerability Scoring System (CVSS<\/a>) verwenden, einen freien und offenen Industriestandard, der den Schweregrad von Sicherheitsl\u00fccken bewertet. Weitere 59 % verwenden den OWASP Top 10-Standard<\/a>, w\u00e4hrend 47 % auf Scan-L\u00f6sungen, 38 % auf das CWE Top 25 <\/a>und 22 % auf das Bespoke Scoring Model<\/a> zur\u00fcckgreifen. Etwa 77 % der Befragten gaben an, dass sie mindestens zwei dieser Modelle zur Bewertung und Priorisierung von Schwachstellen verwenden.<\/p>\n\n\n\n Die Umfrage zeigte au\u00dferdem, dass sich diese Methoden als unzureichend erweisen und dass die derzeit von den Unternehmen angewandten Verfahren zur Priorisierung von Schwachstellen generell nicht \u00fcbereinstimmen. F\u00fcr 78 % der Befragten sollten Schwachstellen mit hoher Priorit\u00e4t niedriger eingestuft werden, w\u00e4hrend 69 % der Befragten angaben, dass Schwachstellen auf niedrigeren Positionen h\u00f6her eingestuft werden sollten. \u00dcber 80 % der Befragten sind der Meinung, dass sie von einer gr\u00f6\u00dferen Flexibilit\u00e4t bei der Priorisierung von Schwachstellen auf der Grundlage ihrer spezifischen Risikoumgebung profitieren w\u00fcrden.<\/p>\n\n\n\n „Sicherheitsteams brauchen mehr Kontrolle, um Cyber-Risiken pr\u00e4ziser zu bewerten, zu priorisieren und einzud\u00e4mmen. F\u00fcr das risikobasierte Schwachstellenmanagement fehlt ein gemeinsamer Rahmen, was die F\u00e4higkeit zur Zusammenarbeit im Bereich der Cybersicherheit und zur effektiven Risikominderung einschr\u00e4nkt. Infolgedessen ist der Cyberschutz in den meisten Branchen nach wie vor unzureichend; die Unternehmen bleiben anf\u00e4llig“, betont Bar-Dayan. <\/p>\n\n\n\n Ein gro\u00dfer Teil der Befragten (54 %) gab an, dass die gr\u00f6\u00dfte Sorge die Preisgabe vertraulicher Daten infolge von Anwendungsschwachstellen ist, gefolgt von problematischer Authentifizierung (44 %), falschen Sicherheitseinstellungen (39 %), unzureichender Protokollierung und \u00dcberwachung<\/a> (35 %). <\/p>\n\n\n\n Vulcan Cyber hat einige kostenlose Open-Source-Tools zusammengestellt, die bei der Bewertung und Minderung von Cyberrisiken helfen k\u00f6nnen: <\/p>\n\n\n\n 1. Anwendungs-Scanner <\/p>\n\n\n\n Statische Anwendungssicherheitspr\u00fcfung (SAST):<\/strong> Befolgt Kodierungsrichtlinien und -standards, ohne Code auszuf\u00fchren. Vergleicht den Anwendungscode mit bekannten Schwachstellenbibliotheken und berichtet \u00fcber Schwachstellen, die behoben werden m\u00fcssen. Einige der besten kostenlosen SAST-Tools sind Bandit, NodeJsScan<\/a> und SonarQube<\/a>.<\/p>\n\n\n\n Dynamische Anwendungssicherheitstests (DAST):<\/strong> F\u00fchrt die Anwendung aus, um Funktionstests durchzuf\u00fchren und Schwachstellen zu erkennen. Die Ausf\u00fchrung ist wichtig, da einige Schwachstellen nur dann auftreten, wenn die Anwendung ausgef\u00fchrt wird. Die beliebtesten kostenlosen DAST-Tools sind Archery, Arachni und OWASP ZAP<\/a>.<\/p>\n\n\n\n Dependency Scanner<\/strong>: Im Zeitalter verteilter Architekturen ist es wichtig, nach Schwachstellen im Code Dritter zu suchen. Die drei bekanntesten kostenlosen Abh\u00e4ngigkeitsscanner sind OWASP Dependency-Check<\/a>, Snyk <\/a>und WhiteSource Bolt f\u00fcr GitHub<\/a>.<\/p>\n\n\n\n Selbstschutz f\u00fcr Laufzeitanwendungen (RASP):<\/strong> Nutzt die Anwendung selbst, um ihr Laufzeitverhalten kontinuierlich zu \u00fcberwachen und so Schwachstellen ohne menschliches Zutun zu identifizieren und zu entsch\u00e4rfen. Zwei kostenlose RASP-Tools: Sqreen<\/a> und Wapiti<\/a>.<\/p>\n\n\n\n 2. Netzwerk- und Infrastruktur-Scanner: Identifizieren Schwachstellen in Netzwerken und angeschlossenen Ger\u00e4ten, wie ungesch\u00fctzte Ein- und Ausg\u00e4nge, unbekannte Ger\u00e4te, falsche Sicherheitseinstellungen und fehlende Software-Updates. Das bekannteste Tool in dieser Kategorie ist OpenVAS<\/a>, das mehr als 50.000 Schwachstellentests enth\u00e4lt. Aber es gibt auch Alternativen wie Wireshark<\/a>, Nmap<\/a>, Qualys<\/a> Community Edition<\/a>, Burp Suite Community Edition<\/a>, W3af<\/a> und Vuls<\/a>.<\/p>\n\n\n\n 3.\u00a0Priorit\u00e4ten-Repositories: Ordnen die Schwachstellen nach ihrem technischen Schweregrad. Die wichtigsten Quellen sind Vulcan Free<\/a>, CVE Details<\/a>, WPScan Vulnerability Database<\/a>, CERT-EU<\/a>, Zero Day Initiative<\/a>, Vulners <\/a>und Rubysec.<\/a><\/p>\n\n\n\n 4. Werkzeuge zur Behebung von Schwachstellen: \u00d6ffentliche Datenbanken und Repositories zu Schwachstellen enthalten oft Empfehlungen der Hersteller zur Behebung der Schwachstellen – in der Regel einen Link zu Patches. <\/p>\n\n\n\n 5. Automatisierungsl\u00f6sungen: Mit Open-Source-Tools k\u00f6nnen verschiedene Aspekte der Schwachstellenbeseitigung automatisiert werden, von der Er\u00f6ffnung technischer Gespr\u00e4che bis hin zu automatischen Konfigurations\u00e4nderungen. Einige bekannte L\u00f6sungen sind Redmine<\/a>, OpenProject<\/a>, Rocket.Chat<\/a>, Comodo ONE Windows Patch Management,<\/a> Opsi<\/a>, Patch Manager Plus Free Edition<\/a>, Foreman<\/a> und CFEngine<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Um der zunehmenden Anzahl von Cyber-Bedrohungen zu begegnen, verlassen sich viele Unternehmen derzeit auf Kennzahlen von Drittanbietern, die sie mit einer Skala von Risiken in Verbindung bringen. Bei diesem Verfahren fehlt oft der Kontext, um die f\u00fcr jedes einzelne Unternehmen spezifischen Risiken zu verstehen \u2013 und wirklich zu reduzieren. Doch woher wei\u00df man bei so…<\/p>\n","protected":false},"featured_media":3409,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-3415","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/3415","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=3415"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/3409"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=3415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=3415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=3415"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=3415"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=3415"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=3415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/network-king.net\/wp-content\/uploads\/2022\/01\/vulneravel2.jpg\")