Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Juli 30, 2021 21:27 - noch keine Kommentare
Markus Auer kommentiert die 25 gefährlichsten Schwachstellen laut MITRE
Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management
[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

Foto: ThreatQuotient
Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!
Top 5 der beschriebenen Schwachstellen
Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:
- CWE-787: Out-of-Bounds Write
- CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
- CWE 125: Out-of-Bounds Read
- CWE-20: Improper Input Validation
- CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)
Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:
- CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
- CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums
Risikobasiertes Priorisieren der Schwachstellen
„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.
Schwachstellen-Scans für ein besseres Risikoprofil
Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:
- Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
- Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
- Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.
Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein
Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“
Weitere Informationen zum Thema:
datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit
CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses
Aktuelles, Experten - Mai 31, 2023 13:27 - noch keine Kommentare
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag
weitere Beiträge in Experten
- 5 Jahre DSGVO: Professor Kelber zieht positives Fazit
- Cyber-Angriffe bewältigen: it’s.BB e.V lädt zur Awareness-Veranstaltung am 24. Mai 2023 ein
- Stand der Technik in der IT-Sicherheit: TeleTrusT-Handreichung in überarbeiteter Auflage erschienen
- Keine Scheu mehr vor der Öffentlichkeit: Cyber-Kriminalität, das Dark Net und Telegram
- EU Chips Act: Europäisches Parlament und Europäischer Rat erzielten vorläufige Einigung
Aktuelles, Branche - Mai 31, 2023 13:36 - noch keine Kommentare
5 Jahre DSGVO mahnen zum Verzicht auf löchrige Schutzschilde
weitere Beiträge in Branche
- Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung
- Android-Malware ab Werk nach Kontrollverlust in der Lieferkette
- Tipps zum Website-Check auf Datenschutzkonformität
- Avanan warnt vor Betrug per E-Mail mittels Missbrauch legitimer Dienste
- Lookout zu Textnachrichten: Die drei wichtigsten Warnhinweise
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren