CVSS kontra Angriffswahrscheinlichkeit

Risikobewertung von Schwachstellen

| Redakteur: Peter Schmitz

Unternehmen müssen Schwachstellen möglichst schnell patchen, sie sollten sich dabei aber zunächst auf die Sicherheitslücken konzentrieren die am wahrscheinlichsten angegriffen werden.
Unternehmen müssen Schwachstellen möglichst schnell patchen, sie sollten sich dabei aber zunächst auf die Sicherheitslücken konzentrieren die am wahrscheinlichsten angegriffen werden. (Bild: Pixabay / CC0)

Cyberkriminalität ist zu einem Geschäftsmodell geworden, das auf maximalen Gewinn abzielt: Angreifer verwenden die gleichen Techniken mehrfach und automatisieren ihr Vorgehen, um möglichst viele Ziele erfolgreich zu erpressen. Der Fall „WannaCry“ aus dem Jahr 2017 ist das beste Beispiel hierfür.

Obwohl „WannaCry“ damals großen Schaden anrichtete, hatte diese Ransomware – wie viele andere auch – einen Vorteil: Unternehmen hätten sich auf sie vorbereiten können. Denn laut „Verizon Data Breach Incident Report“ lassen sich 85 Prozent des durch Exploits entstehenden Schadens auf etwa ein Dutzend Sicherheitslücken zurückführen. Die verbleibenden 15 Prozent nutzen weitere ca. 900 CVEs (Common Vulnerabilities Exposures) aus. Unternehmen, die sich bislang nur auf die gemäß CVSS als besonders kritisch bewerteten Schwachstellen konzentrierten, können ihre Sicherheit deutlich maximieren, indem sie in die Beseitigung genau der Schwachstellen investieren, die am wahrscheinlichsten angegriffen werden – und zu denen es im Unternehmen einen Angriffsvektor gibt (Exposure).

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Das CVSS-System ist veraltet

Die meisten Schwachstellen-Management-Systeme basieren auf dem Common-Vulnerability-Scoring-System (CVSS). Das 2005 entwickelte System unterstützt Unternehmen bei der Priorisierung von Sicherheitslücken bzw. Patches. Doch die damalige Bedrohungslandschaft unterscheidet sich stark von der heutigen Realität. Die sogenannten Zeitmetriken („temporal scores“) sollten ursprünglich Rahmenbedingungen erfassen, unter denen sich Schwachstellen im Laufe der Zeit aufgrund anderer Ereignisse verändern. Leider wurde das System nie vollständig implementiert. Infolgedessen ist es nicht möglich, die Umgebungsmetriken („environmental scores“) durch das CVSS exakt zu bestimmen. Diese spiegeln mögliche Auswirkungen einer Schwachstelle auf die Organisation wider. Auf dem CVSS basierende Scores enthalten daher nur die jeweiligen intrinsischen Eigenschaften der Sicherheitslücken. Daher liegt die Aufmerksamkeit der Organisation auf Schwachstellen mit einem geringen Risiko – während die, die mit einer hohen Wahrscheinlichkeit ausgenutzt werden, vernachlässigt werden.

Schwachstellenanalyse mit Kali Linux

Kali Linux Workshop, Teil 3

Schwachstellenanalyse mit Kali Linux

04.05.18 - Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Wir stellen einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. lesen

Für die Schwachstellenanalyse und die Reaktionsfähigkeit auf Angriffe stellt dies ein ernstzunehmendes Problem dar. Denn der Schweregrad von Sicherheitslücken verändert sich. Er ist abhängig davon, wie sich die Bedrohungslandschaft entwickelt und wie das Umfeld der Sicherheitslücke – also das Netzwerk der betroffenen Organisation – aussieht. Ohne Berücksichtigung des Netzwerkkontexts können Sicherheitslücken nicht richtig priorisiert werden.

Bessere Sicherheit durch Kontext

Für Unternehmen wird eine umfassende Sicherheitsstrategie deshalb immer wichtiger. Diese berücksichtigt zum einen die Komplexität der Netzwerke, aber auch Entwicklungen in der Bedrohungslandschaft. Damit legt sie auch fest, welche Schwachstellen die sofortige Aufmerksamkeit erfordern. Um die Datenerfassung und -analyse wirklich für eine Reaktion auf Bedrohungen sowie für strategische Verbesserungen in der Cybersicherheit nutzen zu können, müssen sich Unternehmen auf die Automatisierung konzentrieren. Die Umwandlung reiner Daten in für das Unternehmen nützliche und vor allem relevante Informationen verbessert Sicherheitsmaßnahmen, senkt IT-Kosten und federt den zunehmenden Security-Fachkräftemangel des Unternehmens ab.

Cyberkriminalität wird nicht von einem Tag auf den nächsten verschwinden und die Nachfolger von „WannaCry“ und „NotPetya“ werden irgendwann die Möglichkeiten und Grenzen der Sicherheitsstrategien und -Tools testen. Diese Tools müssen dann gewährleisten, dass Unternehmen sich nicht nur gegen Cyberangriffe verteidigen, sondern Sicherheitsfragen proaktiv angehen können.

Über den Autor: Dr. Chris Brennan ist Regional Director DACH, Eastern Europe, Russia and Israel bei Skybox Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45458611 / Schwachstellen-Management)