:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
MITRE Common Weakness Enumeration (CWE) Was bringt die „CWE Top 25“ Liste?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die aktuellen CWE Top 25 helfen den Risiko-Score einer Schwachstelle realistisch einzuschätzen. Sie haben aber noch eine weitere Qualität: Sie erklären beispielsweise wie ein aus mehreren Schwachstellen „zusammengesetzter“ Exploit funktioniert und helfen weitreichende Muster im Softwarelebenszyklus oder Bündelungen von CVEs zu erkennen.
Bereits Ende 2019 hat die gemeinnützige MITRE Corporation der US-Industrie die wohl bekannteste Rangliste von Software-Sicherheitsproblemen in der Datenverarbeitung, die „Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Errors“, aktualisiert. Mit dem Update wurde zum einen die zugrunde liegende Methodik verbessert. Zum anderen sollte die Liste für Cybersecurity-Fachleute direkt nutzbringender werden. Die Konzentration auf Klassen von Programmierfehlern ist zwar nicht neu, basiert aber jetzt auf objektiveren Kriterien. Je häufiger eine Schwachstelle vorkommt und je schwerwiegender die potentiellen Auswirkungen, desto höher die CWE-Einstufung. Der große Vorteil des neuen Ansatzes besteht darin, dass die CWE Top 25 jetzt eine Maßeinheit liefern, worauf es tatsächlich ankommt.
:quality(80)/p7i.vogel.de/wcms/ca/36/ca36e861b9cf2aa2970b3286275a4f9f/91484271.jpeg "Während die ursprüngliche CWE Top 25 sich auf wichtige Klassen von Softwarefehlern fokussierte, werden werden sie im Update von 2019 mit genauen Praxisdaten untermauert. (Bild: gemeinfrei)")
MITRE Common Weakness Enumeration (CWE)
Die 25 gefährlichsten Softwarefehler und ihre praktische Relevanz
Angriffssequenzen
Es gibt aber noch einen weiteren interessanten Aspekt der langersehnten Neuauflage von 2019. Die neuen CWE Top 25 könnten längerfristig die Sicht der Branche auf CVEs selbst beeinflussen. Die wurden von MITRE in den 1990er Jahren eingeführt, um Softwareschwachstellen zu identifizieren, als diese zahlenmäßig mehr wurden und deutlich häufiger auftraten. Dieses System dient als eine der wesentlichen Grundlagen für das Verwalten und Patchen von Schwachstellen. Es existiert allerdings weiterhin die Tendenz, Fehler auf CVE-Ebene als voneinander getrennte Einheiten zu betrachten. Wenn man sie mit der CWE-Rangliste in Einklang bringt, die zusätzlich Kausalität und Kritikalität berücksichtigt, lassen sich weitreichende Muster aufdecken. Dadurch können Softwareunternehmen über den gesamten Entwicklungs- und Lebenszyklus hinweg, Sicherheitsentscheidungen besser priorisieren.
Ein weiterer nicht zu unterschätzender Mehrwert der CWE Top 25 besteht darin, Schwachstellen nicht nur zu identifizieren und zu beschreiben, sondern sie in einem Praxiskontext zu erklären. Ein gutes Beispiel dafür ist die Idee von „Chain und Composites“. Wie der Name schon sagt, handelt es sich bei der Chain um eine Kette in einer Abfolge von Schwachstellen, bei der die erste die Voraussetzungen für nachfolgende(n) Schwachstelle(n) schafft. Ein Composite hingegen ist eine Kombination aus zwei oder mehreren separat auftretenden Schwachstellen, aber zur gleichen Zeit. Ein bekanntes Beispiel aus jüngster Zeit sind Schwachstellen, die bei den Angriffen auf die Pulse Secure-, Fortinet- und Palo Alto-VPN-Server ausgenutzt wurden. Im Fall von Pulse Secure umfasste der Angriff allein 10 CVEs, einschließlich eines CVSS 10 (maximaler Schweregrad) und 9,9, die sich über eine Kette von Softwareschwachstellen verteilten. Offensichtlich eine Schwachstelle, der man Priorität einräumen sollte.
Das Bündeln von CVEs und Schwachstellen ist schon seit einiger Zeit eine übliche Taktik bei hochkarätigen Cyber-Angriffen. Ein prominentes Beispiel ist der berüchtigte EternalBlue MS17-010-Angriff, der drei unterschiedliche Software-Sicherheitsprobleme für die Remote-Codeausführung ausgenutzte. Aufschlussreich ist dabei, dass die Angreifer jede einzelne Komponente brauchten, damit die anderen effektiv oder überhaupt funktionieren. Das enthält für die Abwehr solcher Angriffe einige wichtige Informationen. Natürlich sollte man alle Softwareschwachstellen rechtzeitig patchen. Trotzdem sind moderne Angriffe oftmals nicht mehr zu stoppen, weil sie verschiedene Programmschwachstellen in einer bestimmten Verkettung ausnutzen.
Wie bei seinen Vorgängern kommt das in den CWE Top 25 2019 in den CanPrecede- und CanFollow-Beziehungen zum Ausdruck. Diese ermöglichen es Sicherheitsexperten Abhängigkeiten über CWE-Identifikatoren nachzuverfolgen. Das ist nicht grundsätzlich neu, das überarbeitete Design gestattet es aber, mit häufigen und schwerwiegenden Schwachstellen an der Spitze der Top 25-Liste zu beginnen und diese mit weniger häufigen und weniger schwerwiegenden in Beziehung zu setzen. Eine Verbindung, die man angesichts der reinen Platzierung auf der Liste bisher leicht übersehen konnte. Was die Beziehungen zwischen den Schwachstellenklassen anbelangt, basiert die Rangfolge jetzt auf den Erfahrungen von Sicherheitsteams mit genau dieser Schwachstelle.
So lobenswert die Neuformulierung von 2019 auch ist, die CWE-Top 25 sollten nie das alleinige Kriterium bilden. Die Liste ist eine Ressource, kein Rezept. Je nach Zielumgebung und Art der verwendeten Softwarekomponenten kommt man nicht umhin, die Liste anzupassen. Nicht alle beschriebenen Probleme bei der Softwaresicherheit sind für alle Umgebungen gleichermaßen relevant. Dennoch eignet sich die CWE-Top 25 einen Kontext für die Priorisierung von Softwareschwachstellen wie den CVEs zu liefern.
In gewisser Weise fungiert sie als Spiegel dessen wie sich die Art von Cyberkriminalität weiterentwickelt, die sich auf gängige Softwareprobleme konzentriert. Die CWE Top 25 liefert wichtige Hinweise wie man mit diesen Problemen umgehen kann. Man sollte die Hinweise aber im Kontext dessen betrachten, was für ein bestimmtes Unternehmen oder eine bestimmte Umgebung und die verwendeten Softwarekomponenten als kritisch bewertet wird. Dann haben Sicherheitsteams gute Chancen einen Großteil des Bedrohungspotenzials zu senken.
Über den Autor: Oleg Kolesnikov ist VP Threat Research/Cybersecurity bei Securonix.
(ID:46849708)