Aktuelles, Branche, Studien - geschrieben von dp am Freitag, Juli 30, 2021 21:27 - noch keine Kommentare
Markus Auer kommentiert die 25 gefährlichsten Schwachstellen laut MITRE
Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management
[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.
Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!
Top 5 der beschriebenen Schwachstellen
Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:
- CWE-787: Out-of-Bounds Write
- CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
- CWE 125: Out-of-Bounds Read
- CWE-20: Improper Input Validation
- CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)
Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:
- CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
- CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums
Risikobasiertes Priorisieren der Schwachstellen
„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.
Schwachstellen-Scans für ein besseres Risikoprofil
Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:
- Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
- Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
- Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.
Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein
Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“
Weitere Informationen zum Thema:
datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit
CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren