Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Juli 30, 2021 21:27 - noch keine Kommentare
Markus Auer kommentiert die 25 gefährlichsten Schwachstellen laut MITRE
Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management
[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

Foto: ThreatQuotient
Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!
Top 5 der beschriebenen Schwachstellen
Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:
- CWE-787: Out-of-Bounds Write
- CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
- CWE 125: Out-of-Bounds Read
- CWE-20: Improper Input Validation
- CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)
Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:
- CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
- CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums
Risikobasiertes Priorisieren der Schwachstellen
„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.
Schwachstellen-Scans für ein besseres Risikoprofil
Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:
- Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
- Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
- Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.
Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein
Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“
Weitere Informationen zum Thema:
datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit
CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren