Markus Auer kommentiert die 25 gefährlichsten Schwachstellen laut MITRE

Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management

[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

Foto: ThreatQuotient

Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!

Top 5 der beschriebenen Schwachstellen

Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:

1. CWE-787: Out-of-Bounds Write
2. CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
3. CWE 125: Out-of-Bounds Read
4. CWE-20: Improper Input Validation
5. CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)

Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:

• CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
• CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums

Risikobasiertes Priorisieren der Schwachstellen

„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.

Schwachstellen-Scans für ein besseres Risikoprofil

Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:

• Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
• Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
• Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.

Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein

Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit

CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses