[datensicherheit.de, 04/27/2025] The recent uncertainties surrounding the CVE program have made it clear how important reliable structures for vulnerability coordination are. According to Armis, this is exactly where it comes in – with its approval as a CVE numbering authority and its own freely accessible “Vulnerability Intelligence Database” for the targeted prioritization of security-relevant vulnerabilities. The “Armis Vulnerability Intelligence Database” is set to go live at the “RSAC 2025 Conference” and is now available for an initial preview.

Foto: Armis

Armis “CTO” Nadir Izrael: “We focus on going beyond detection and providing real security – before an attack, not after!”

“Armis Labs”, “Early Warning” and “Armis Asset Intelligence Engine” as the basis

Armis announced on April 23, 2025 that it is expanding its vulnerability detection and assessment capabilities with the free availability of the “Armis Vulnerability Intelligence Database”. This community-driven database is designed to integrate exploited vulnerabilities, emerging threats and AI-powered insights, providing the cybersecurity industry with the knowledge organizations need to better prioritize and mitigate threats in real-time.

The Armis Vulnerability Intelligence Database is powered by Armis Labs, Early Warning and the Armis Asset Intelligence Engine, and receives information from Armis Centrix for VIPR Pro – Prioritization and Remediation, enabling Armis customers to benefit from additional crowdsourced knowledge and effectively prioritize emerging vulnerabilities in their respective industries. By making security-critical information available more quickly than with conventional databases, Armis aims to help customers prioritize emerging vulnerabilities.

“Armis Vulnerability Intelligence Database specifically designed to meet the needs of cyber security teams

”As cyber attacks become more extensive and sophisticated, a proactive approach to risk mitigation is essential,“ emphasizes Nadir Izrael, ”CTO“ and co-founder of Armis. He explains: „The ‘Armis Vulnerability Intelligence Database’ is a significant and user-friendly resource designed specifically for the needs of security teams. It translates technical vulnerability data into tangible risks and helps organizations respond faster and make informed decisions when dealing with cyber threats.“

Currently, 58 percent of companies worldwide only react to threats once damage has already been done. In addition, almost a quarter (22%) of IT decision makers say that continuous vulnerability assessment is currently a gap in their security measures, with many vulnerabilities and security findings still being tracked using spreadsheets. “There is a clear need to close these gaps before negative impacts occur!”

As a CNA, Armis will review newly discovered vulnerabilities and assign CVE IDs to them

In addition, Armis has been authorized by the Common Vulnerabilities and Exposures (CVE®) Program as a CVE Numbering Authority (CNA). The role of this international program is to identify, define and catalog publicly known vulnerabilities. As a CNA, Armis can now review newly discovered vulnerabilities and assign them CVE IDs.

“We focus on going beyond detection and providing real security – before an attack, not after!” says Izrael. It is their duty and goal to increase cyber security awareness and measures across all industries. “This is crucial to effectively combat the entire lifecycle of cyber threats and manage cyber risks to ensure the safety of society.”

Further information on the topic:

CVE
Overview / About the CVE Program

ARMIS
Armis Vulnerability Intelligence Database

ARMIS
Armis Labs: Cybersecurity Insights From Experts and Billions of Assets

ARMIS
Armis Centrix for Early Warning

ARMIS
Armis Asset Intelligence Engine

ARMIS
Platform: Armis Centrix for VIPR Pro – Prioritization and Remediation

ARMIS, 2025
THE STATE OF CYBERWARFARE: Warfare Without Borders / AI’s Role in the New Age of Cyberwarfare

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 26.04.2025] Die jüngsten Unsicherheiten rund um das CVE-Programm haben deutlich gemacht, wie wichtig verlässliche Strukturen zur Schwachstellenkoordination sind. Armis setzt nach eigenen Angaben nun genau hier an – mit der Zulassung als CVE-Nummerierungsstelle und einer eigenen frei zugänglichen „Vulnerability Intelligence Database“ zur gezielten Priorisierung sicherheitsrelevanter Schwachstellen. Die „Armis Vulnerability Intelligence Database“ soll auf der „RSAC 2025 Conference“ live gehen und steht ab sofort für eine erste Vorschau zur Verfügung.

Foto: Armis

Armis-„CTO“ Nadir Izrael: Wir konzentrieren uns darauf, über die Erkennung hinauszugehen und echte Sicherheit zu bieten – vor einem Angriff, nicht erst danach!

„Armis Labs“, „Early Warning“ und „Armis Asset Intelligence Engine“ als Basis

Armis hat am 23. April 2025 bekanntgegeben, dass es seine Funktionen zur Erkennung und Bewertung von Schwachstellen durch die kostenlose Verfügbarkeit der „Armis Vulnerability Intelligence Database“ erweitert. Diese gemeinschaftsgetriebene Datenbank soll ausgenutzte Schwachstellen, neu auftretende Bedrohungen und KI-gestützte Erkenntnisse integrieren sowie die Cyber-Sicherheitsbranche mit dem Wissen versorg, welches Unternehmen benötigen, um Bedrohungen in Echtzeit besser zu priorisieren und abzuwehren.

Die „Armis Vulnerability Intelligence Database“ basiert auf „Armis Labs“, „Early Warning“ und der „Armis Asset Intelligence Engine“ – außerdem erhält sie Informationen von „Armis Centrix für VIPR Pro – Prioritization and Remediation“, wodurch Armis-Kunden von zusätzlichem „Crowdsourcing“-Wissen profitieren und neu auftretende Schwachstellen in ihren jeweiligen Branchen effektiv priorisieren können. Indem so sicherheitskritische Informationen schneller verfügbar werden als bei herkömmlichen Datenbanken, soll Unternehmen gehelfen werden, proaktiv zu handeln – bevor Sicherheitslücken zu ernsthaften Risiken werden.

„Armis Vulnerability Intelligence Database“ speziell für Anforderungen von Cyber-Sicherheitsteams entwickelt

„Da Cyber-Angriffe immer umfangreicher und raffinierter werden, ist ein proaktiver Ansatz zur Risikominderung unerlässlich“, betont Nadir Izrael, „CTO“ und Mitbegründer von Armis. Er erläutert: „Die ,Armis Vulnerability Intelligence Database’ ist eine bedeutende und benutzerfreundliche Ressource, die speziell für die Anforderungen von Sicherheitsteams entwickelt wurde. Sie übersetzt technische Schwachstellendaten in greifbare Risiken und unterstützt Unternehmen dabei, schneller zu reagieren und fundierte Entscheidungen im Umgang mit Cyber-Bedrohungen zu treffen.“

Derzeit reagierten 58 Prozent der Unternehmen weltweit erst dann auf Bedrohungen, wenn bereits Schaden entstanden ist. Darüber hinaus gebe fast ein Viertel (22%) der IT-Entscheidungsträger an, dass eine kontinuierliche Schwachstellenbewertung derzeit eine Lücke in ihren Sicherheitsmaßnahmen darstelle, wobei viele Schwachstellen und Sicherheitsbefunde weiterhin mit Tabellenkalkulationen verfolgt würden. „Es besteht eindeutig Bedarf, diese Lücken zu schließen, bevor negative Auswirkungen auftreten!“

Als CNA wird Armis neuentdeckte Schwachstellen überprüfen und ihnen CVE-IDs zuweisen

Darüber hinaus wurde Armis vom „Common Vulnerabilities and Exposures (CVE®) Program“ als „CVE Numbering Authority“ (CNA) autorisiert. Die Aufgabe dieses internationalen Programms besteht darin, öffentlich bekannt gewordene Schwachstellen zu identifizieren, zu definieren und zu katalogisieren. Als CNA kann Armis nun neuentdeckte Schwachstellen überprüfen und ihnen CVE-IDs zuweisen.

„Wir konzentrieren uns darauf, über die Erkennung hinauszugehen und echte Sicherheit zu bieten – vor einem Angriff, nicht erst danach!“, so Izrael. Es sei ihre Pflicht und ihr Ziel, das Bewusstsein für Cyber-Sicherheit und entsprechende Maßnahmen in allen Branchen zu stärken. „Dies ist entscheidend, um den gesamten Lebenszyklus von Cyber-Bedrohungen effektiv zu bekämpfen und Cyber-Risiken zu managen, damit die Sicherheit der Gesellschaft gewährleistet ist.“

Weitere Informationen zum Thema:

CVE
Overview / About the CVE Program

ARMIS
Armis Vulnerability Intelligence Database

ARMIS
Armis Labs: Cybersecurity Insights From Experts and Billions of Assets

ARMIS
Armis Centrix for Early Warning

ARMIS
Armis Asset Intelligence Engine

ARMIS
Platform: Armis Centrix for VIPR Pro – Prioritization and Remediation

ARMIS, 2025
THE STATE OF CYBERWARFARE: Warfare Without Borders / AI’s Role in the New Age of Cyberwarfare

datensicherheit.de, 18.04.2025
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 18.04.2025] Laut verschiedener aktueller Medienberichte soll das „CVE Program“ von MITRE nun doch weiter finanziert werden, wodurch eine befürchtete Abschaltung verhindert werden kann. Im Vorfeld der drohenden Einstellung zum 16. April 2025 hatte die Meldung zu großer Sorge in der Informationssicherheitsbranche geführt – befürchtet wurde, dass Aufdeckung und Dokumentation von Software-Schwachstellen künftig komplizierter hätten werden können. Unklar sei indes, was genau zwischen der ursprünglichen MITRE-Warnung über den Wegfall der Finanzierung und der CISA-Entscheidung zur Fortführung geschehen ist.

CISA verlängert Finanzierung um elf Monate

Demnach wird die US-amerikanische Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) die Finanzierung doch verlängern – zumindest werde diese für einen weiteren Zeitraum von elf Monaten erfolgen.

MITRE hatte vor Kurzem gewarnt, dass die Finanzierung des Programms „Common Vulnerabilities and Exposures“ am 16. April 2025 auslaufen würde. Dieses von der US-Regierung finanzierte Programm gilt als ein entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern, welche von Cyber-Kriminellen missbraucht werden könnten.

Drohende Lücke in den kritischen CVE-Diensten soll vermieden werden

„Das CVE-Programm ist von unschätzbarem Wert für die Cyber-Community und eine Priorität der CISA“, soll ein Sprecher der CISA gegenüber dem Webmagazin „CYBERSECURITY DIVE“ bekundet haben. Deshalb werde die CISA nun sicherstellen, eine drohende Lücke in den kritischen CVE-Diensten zu vermeiden.

Informationssicherheitsexperten hatten gewarnt, dass eine Unterbrechung der Finanzierung sonst zu massiven Verzögerungen bei der Offenlegung von Schwachstellen führen und ein weites Fenster für die Ausnutzung von Softwarefehlern offen lassen könnte.

Weitere Informationen zum Thema:

heise online, Dr. Christopher Kunz, 17.04.2025
CVE-Aus abgewendet / Schwachstellendatenbank der EU geht an den Start / Entscheidung in letzter Minute – offenbar geht der Vertrag zwischen CISA und MITRE in die Verlängerung. Mehrere Initiativen präsentieren derweil Alternativen.

CYBERSECURITY DIVE, David Jones, 16.04.2025
Mitre CVE program regains funding as renewal deal reached / The information security industry feared a lapse would lead to industrywide exposures of software vulnerabilities

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

[datensicherheit.de, 17.04.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat am 16. April 2025 zu dem Auslaufen der Finanzierung für das „CVE-Programm“ genommen – mit dem Wegfall der finanziellen Unterstützung durch die US-Regierung stehe das international etablierte „CVE-Projekt“ nun vor einem kritischen Einschnitt. Die drohende Abschaltung der CVE-Datenbank berge erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit. eco-Vorstand Klaus Landefeld warnt vor den Folgen für die IT-Sicherheitslage und betont die Notwendigkeit einer raschen, koordinierten Übergangslösung. Vor diesem Hintergrund sieht der eco einen „dringenden Handlungsbedarf“ und unterstreicht die zentrale Rolle der CVE-Infrastruktur für die digitale Sicherheit von Wirtschaft und Gesellschaft.

Foto: eco e.V.

Klaus Landefeld: Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft!

eco unterstützt Rettungsinitiativen wie die CVE-Stiftung

Zur Ankündigung des MITRE, die CVE-Datenbank offline zu nehmen, da die finanzielle Unterstützung der US-Regierung beendet wurde, kommentiert Landefeld: „Aus unserer Sicht ist es sehr bedauerlich, dass die US-Regierung das Funding für das ,CVE-Projekt’ des MITRE abrupt einstellt.“ Dieses sei ein wichtiger Baustein für Sicherheit in Software und Produkten, auf welchen sich Unternehmen weltweit verließen.

• Der eco unterstützt daher Rettungsinitiativen wie die CVE-Stiftung, die ihre bereits seit Längerem geplante Gründung vorgezogen hat und künftig regierungsunabhängig arbeiten will. Eine unterbrechungsfreie Sicherstellung des CVE-Systems sei für die Informationssicherheit der Mitgliedsunternehmen des eco von unschätzbarer Bedeutung, unterstreicht Landefeld:

„Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft und dass US-Behörden sich bei der Ausgestaltung dieser Übergangsphase eng mit MITRE austauschen und beispielsweise eine Übergangsregelung finden.“

Wegfall der CVE-Datenbank lässt Unternehmen im Unklaren darüber, ob Sicherheitslücken bereits bekannt sind und bekämpft werden

Der eco befürchtet, dass die Einstellung der Datenbank für Unternehmen und die öffentliche Verwaltung zu einer Herausforderung werden könnte. „Es sind bereits entsprechende Maßnahmen in Vorbereitung. Diese aber beziehen sich teilweise auf das ,CVE-Projekt’ und gehen so ins Leere, oder benötigen deutlich mehr Zeit, um wirksam werden zu können“, so Landefeld.

• Cyber-Sicherheit sei für eco primär eine Aufgabe, welche Unternehmen, Staat und Nutzer nur gemeinschaftlich herstellen könnten, „wenn alle Beteiligten gemäß ihren Kapazitäten, Möglichkeiten und Befugnisse einbringen“. Die Identifizierung und Beseitigung von Sicherheitslücken in Software und IT-Produkten sei ein wichtiger Baustein für Vertrauen und Sicherheit im Netz.

Mit dem bisherigen „CVE-Projekt“ habe eine weltweit einzigartige Datenbank existiert, „die diese Sicherheitslücken katalogisiert und so Unternehmen die Möglichkeit gegeben hat, systematisch dagegen vorzugehen“. Der Wegfall dieser Datenbank lasse Unternehmen im Unklaren darüber, „ob ihre Sicherheitslücken bereits andernorts bekannt sind und bekämpft werden“. Entsprechende Projekte bei der EU-Sicherheitsbehörde ENISA seien bereits angestoßen, würden aber noch einige Monate bis zur Wirksamkeit benötigen.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Vulnerability Disclosure / By setting rules for identifying, fixing, mitigating, and reporting new vulnerabilities before they are exploited, CVD is crucial for protecting users and strengthening cybersecurity in the EU.

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 17.04.2025] Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, widmet sich in seiner aktuellen Stellungnahme der Finanzierung des „CVE-Programms“ (Common Vulnerabilities and Exposures) sowie verwandter Initiativen wie des „CWE-Programms“ (Common Weakness Enumeration) – diese soll demnach nicht verlängert werden. Diese unklare Zukunft des „CVE-Programms“ sorgt für große Unsicherheit in der IT-Sicherheitsgemeinschaft – insbesondere in Bezug darauf, wie neu entdeckte Schwachstellen künftig erfasst und katalogisiert werden sollen.

Foto: Tenable

Satnam Narang: Tenable behält weitere Entwicklungen im CVE-Umfeld im Auge

Seit 1999 war das „CVE-Programm“ eine tragende Säule der Cyber-Sicherheitslandschaft

Narang kommentiert: „Die angekündigte Einstellung der Finanzierung des ,MITRE CVE-Programms’ hat verständlicherweise Besorgnis unter IT-Sicherheitsexperten und Unternehmen ausgelöst.“

• Er führt aus: „Seit seiner Einführung im Jahr 1999 ist das ,CVE-Programm’ eine tragende Säule der Cyber-Sicherheitslandschaft und hat mit seiner einheitlichen Taxonomie die Nachverfolgung von über 250.000 CVEs bis Ende 2024 ermöglicht.“ Ob die Finanzierung tatsächlich eingestellt wird, sei zwar noch offen – sollte es jedoch dazu kommen, wären die Auswirkungen weitreichend.

Sogenannte CVE Numbering Authorities (CNAs) sind für die Reservierung und Vergabe von CVE-Kennungen zuständig. „Zwar können CNAs CVEs vorab reservieren, doch angesichts der schieren Menge an Schwachstellen ist der Vorrat an verfügbaren Kennungen schnell erschöpft.“

CVE quasi gemeinsame Sprache zur Beschreibung von Schwachstellen und Sicherheitslücken

CVE sei die gemeinsame Sprache, wenn es um Schwachstellen und Sicherheitslücken geht. „Sollte dieses System wegfallen, ist unklar, was an seine Stelle treten könnte.“

• Es könnten sich zwar verschiedene Alternativen herausbilden, doch ohne einen klaren Standard drohe ein ähnliches Durcheinander wie bei der Benennung von Bedrohungsakteuren – ohne einheitliche Bezeichnungen und mit eingeschränkter Vergleichbarkeit.

Darüber hinaus biete das „CVE-Programm“ einen zentralen Rahmen zur Nachverfolgung der Vergabe von CVEs, an dem sich viele Unternehmen orientierten. „Wir behalten die weiteren Entwicklungen rund um die mögliche Einstellung der Finanzierung im Auge“, so Narang.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA / Drohende Abschaltung der CVE-Datenbank birgt erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit

[datensicherheit.de, 20.09.2018] Schwachstellenmanagement (Vulnerability Management) ist ein unverzichtbarer Bestandteil einer hohen IT-Sicherheit. Traditionelle Ansätze sind allerdings angesichts der horrenden Zahl potenzieller Sicherheitslücken zum Scheitern verurteilt, erklären NTT Security (Germany) und „Security Center of Excellence“ der NTT Group. Nur eine starke Priorisierung ermöglicht ein effizientes Schwachstellenmanagement.

Ein wesentlicher Aspekt bei der IT-Sicherheit ist das Vulnerability und Patch Management, bei dem Unternehmen allerdings schnell an Grenzen stoßen – schlicht und ergreifend durch die hohe Anzahl von Verwundbarkeiten. Das Verzeichnis bekannter Sicherheitslücken in IT-Systemen, der von der Mitre Corporation in Zusammenarbeit mit Herstellern von Sicherheitssoftware, Behörden und Bildungseinrichtungen verwaltete Industriestandard CVE (Common Vulnerabilities and Exposures), enthält allein für 2017 14.714 Meldungen über neue Verwundbarkeiten und aktuell sind es bereits über 12.000. Ein 100-Prozent-Ansatz beim Patchen ist somit kaum realistisch.

Die Lösung für diese Herausforderung lautet: Etablierung eines intelligenten, also eines sogenannten Smart-Vulnerability-Managements. Es setzt bei der Bestandsaufnahme der IT an und bewertet, filtert und priorisiert Risiken. Die Risikoabschätzung ist von zentraler Bedeutung, da jedes Unternehmen ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse ermittelt werden muss. Darauf bauen dann alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf.

Ein Smart-Vulnerability-Management scannt IT-Systeme und untersucht sie auf Schwachstellen. Dabei nutzt es auch systemübergreifende Informationen, die eine Priorisierung ermöglichen. Tritt etwa eine Schwachstelle bei den Microsoft Remote Desktop Services (RDS) auf, muss nicht zwangsläufig ein Patchen aller Windows-Server mit hoher Priorität erforderlich sein. So liegen durch Echtzeit-Informationen der Firewall Erkenntnisse darüber vor, welche Windows-Systeme überhaupt über das Microsoft Remote Desktop Protocol (RDP) erreichbar sind. Und über die von vielen Unternehmen genutzten Intrusion-Prevention- und Intrusion-Detection-Systeme sind eventuell bereits Pattern-Updates für diese Verwundbarkeit vorhanden. Setzt ein Unternehmen zudem eine Configuration Management Database (CMDB) ein, kennt es auch diejenigen Systeme, die überhaupt kritische Daten beinhalten. Auch durch die damit mögliche Priorisierung können Patch-Prozesse entscheidend optimiert werden.

Weiß ein Unternehmen, an welchem Ort wichtige Daten liegen und sicherheitsrelevante Gefahren bestehen, kann es überdies nicht nur gezielt reagieren, sondern auch proaktive Vorkehrungen treffen und frühzeitig in entsprechende Security-Maßnahmen investieren. Dazu zählen zum Beispiel die Transportverschlüsselung, der Einsatz sicherer Authentifizierungsmethoden, effiziente Berechtigungsmodelle, die Datenverschlüsselung und die Netzwerksegmentierung – immer angepasst auf die jeweilige Risikolage.

Bild: NTT Security

Matthias Straub, Director Consulting Deutschland und Österreich bei NTT Security

„Traditionelle Vulnerability-Management-Prozesse sind zeitaufwändig, ressourcenintensiv und ineffizient und fokussieren oft die falschen Kriterien, sodass Sicherheits- und Compliance-Lücken die Folge sein können“, betont Matthias Straub, Director Consulting Deutschland und Österreich bei NTT Security. „Ein Smart-Vulnerability-Management-Ansatz hingegen, der auf Priorisierung basiert, adressiert primär die größten Schwachstellen in einer IT-Umgebung. Er bietet damit eine schnelle und effiziente Möglichkeit für die Umsetzung eines erfolgreichen Vulnerability-Managements – auch wenn eine große Anzahl potenzieller Schwachstellen zu berücksichtigen ist.“

Ein umfassendes intelligentes Smart-Vulnerability-Managementsystem beinhaltet:

• Identifizierung: Echtzeit-Vulnerability-Informationen in einer zentralen Datenbank
• Priorisierung: Kunden- und anforderungsspezifische Schwachstellen-Klassifizierung
• Management: Remediation-Tracking, Kunden-Reports, -Dashboards und -Charts
• Audit: Auditierbare Aufzeichnungen von Remediation-Prozessen von der Schwachstellen-Identifizierung bis zur -Beseitigung
• Vulnerability-Threat-Korrelation
• Asset-bezogenes Scheduling, Scanning und Reporting

Weitere Informationen zum Thema:

NTT Security
Solutions for Resilient Cyber Security

datensicherheit.de, 09.08.2018
Cyberattacken: Basisarbeit in der IT-Sicherheit ist wesentliche Abwehrmaßnahme

datensicherheit.de, 07.08.2018
Fünf Empfehlungen zur Steigerung der IT-Sicherheit

datensicherheit.de, 25.04.2018
Connected Cars: NTT Com Security fordert konsistente IT-Sicherheits-Architektur

datensicherheit.de, 08.05.2014
Datensicherheit als Daueraufgabe: Fortschritt mobiler IKT erfordert Fortbildung

datensicherheit.de, 11.10.2011
Auf die Reihenfolge kommt es an: Die vier Säulen der Datensicherheit

[datensicherheit.de, 04.12.2014] Palo Alto Networks geht für das Jahr 2015 von drei großen Trends im Bereich „Threat-Prevention“ aus. Einer davon sei die Zunahme von „Malvertising“ – also die Verbreitung von Malware über Online-Werbung. Mindestens von gleichbleibender wenn nicht gar eher zunehmender Bedeutung werde die Zahl der „Common Vulnerabilities and Exposures“ (CVEs), also bekannter Schwachstellen und Sicherheitslücken, sein. Des Weiteren sieht Palo Alto Networks im Enterprise-Security-Markt einen Trend zu integrierten Plattformlösungen anstelle von Standolone- und UTM-Sicherheitslösungen (Unified Threat Management).

Einsatz vermeintlich legitimer Mittel für umfassende Angriffe

„Malvertising“ als Angriffsmethode gibt es schon seit einigen Jahren. Zuletzt wurden im September und Oktober 2014 die Internetriesen Yahoo! und AOL kompromittiert. Den Angreifern gelang es so, mehrere Tausend US-Dollar pro Tag zu erbeuten.
Die Verwendung von „Malvertising“ als Angriffsmethode deutet auf eine Abkehr von aufwändiger Trickserei wie „Spear-Phishing“ und „Packet-Sniffing“ zugunsten einer Technik hin, die einen legitimen Geschäftsprozess für die Verbreitung von Malware nutzt, erläutert Palo Alto Networks. Dieses Verfahren ermögliche Angreifern den Zugriff auf potenziell Millionen von Benutzern – mit minimalem Aufwand. Weit verbreitete Geschäftskanäle mit wenig bis gar keiner Sicherheit würden daher verlockende Ziele für die Angreifer darstellen. Es werde eine sorgfältige Koordination erfordern, um diese Kanäle sicherer zu machen.

Zunahme bei Zero-Day-Exploits mit dem Fokus auf Legacy-Code

Sichere Programmiertechniken gehörten mittlerweile zum Alltag der Softwareentwickler – mittels statischer und dynamischer Analyse würden Schwachstellen in Code und Geschäftslogik identifiziert und behoben, bevor die Anwendung veröffentlicht oder aktualisiert wird. Klar sei laut Palo Alto Networks, dass Sicherheitslücken die Anwendungsintegrität beeinträchtigen und damit das Vertrauen der Kunden und deren Geschäft. Es sei daher einfacher und viel billiger, Schwachstellen bereits im Entwicklungszyklus zu beheben. Allerdings bedeute dies auch, dass „Legacy-Code“ viel teurer zu warten sei, auch wenn eine Sicherheitslücke noch nicht in „freier Wildbahn“ ausgenutzt wurde. Da Black-Hat-Hacker zudem immer kreativer würden, werde die Zahl der CVEs im Jahr 2015 auf hohem Niveau von 2014 bleiben, wenn nicht sogar steigen.

Stärkere Verschmelzung von IPS- und Firewall-Funktionalität

Da im Enterprise-Markt zunehmend die Vorteile eines echten plattformbasierten Sicherheitsansatzes erkannt würden, sei ein zunehmender Abschied der Anbieter von Standalone- und UTM-Sicherheitslösungen zu erwarten.
Es gebe ohnehin keinen besseren Weg, um die Wirksamkeit von IPS-Lösungen (Intrusion Prevention System) zu erhöhen, als die Kombination mit anderen defensiven Techniken wie Entschlüsselung, Dekomprimierung, Anwendungs-ID, Benutzer-ID, Data-Loss Prevention und „Sandboxing“. Der Marktwandel vom herkömmlichen IPS zum „Next-Generation-IPS“ und zur „Next-Generation-Firewall“ plus „-IPS“ habe bereits begonnen, aber es würden noch mehr Innovationen erforderlich sein, um mit „den Bösen“ Schritt halten zu können. Damit werde die integrierte Alleskönner-Plattform, die keine Benutzerinteraktion erfordert und sowohl in Rechenzentren als auch in der Cloud eingesetzt werden kann, zunehmend attraktiver, so Palo Alto Networks‘ Prognose.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2014
Managed Security Services: NTT Com Security und Palo Alto Networks schließen globale Vereinbarung