ThreatQuotient – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Sun, 01 Aug 2021 14:10:19 +0000 de hourly 1 Markus Auer kommentiert die 25 gefährlichsten Schwachstellen laut MITRE https://www.datensicherheit.de/markus-auer-kommentar-25-gefahr-schwachstellen-mitre https://www.datensicherheit.de/markus-auer-kommentar-25-gefahr-schwachstellen-mitre#respond Fri, 30 Jul 2021 19:27:44 +0000 https://www.datensicherheit.de/?p=40491 Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management

[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

threatquotient-markus-auer

Foto: ThreatQuotient

Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!

Top 5 der beschriebenen Schwachstellen

Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:

  1. CWE-787: Out-of-Bounds Write
  2. CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
  3. CWE 125: Out-of-Bounds Read
  4. CWE-20: Improper Input Validation
  5. CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)

Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:

  • CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
  • CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums

Risikobasiertes Priorisieren der Schwachstellen

„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.

Schwachstellen-Scans für ein besseres Risikoprofil

Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:

  • Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
  • Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
  • Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.

Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein

Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2018
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit

CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses

]]>
https://www.datensicherheit.de/markus-auer-kommentar-25-gefahr-schwachstellen-mitre/feed 0
ThreatQuotient präsentiert den ersten virtuellen Kontrollraum für Cybersicherheit https://www.datensicherheit.de/threatquotient-virtueller-kontrollraum-cybersicherheit https://www.datensicherheit.de/threatquotient-virtueller-kontrollraum-cybersicherheit#respond Tue, 24 Apr 2018 18:58:08 +0000 https://www.datensicherheit.de/?p=27486 Die Lösung ermöglicht den Austausch von Erkenntnissen zu Bedrohungen, teamübergreifende Analysen und koordinierte Reaktionen, um Sicherheitsmaßnahmen zu beschleunigen.

[datensicherheit.de, 24.04.2018] ThreatQuotient™, Anbieter einer Threat-Intelligence-Plattform, hat die Lösung ThreatQ™ Investigations vorgestellt. Die Branchenneuheit liefert den ersten virtuellen Kontrollraum für Cybersicherheit. ThreatQ Investigations versetzt Unternehmen in die Lage, Bedrohungen teamübergreifend zu analysieren, ein einheitliches Verständnis herzustellen und die Reaktionen zu koordinieren. Der Verlauf von Untersuchungen wird in einer gemeinsamen Umgebung in Echtzeit visualisiert, sodass die Teams Bedrohungen besser verstehen und vorhersehen und ihre Reaktionen aufeinander abstimmen können.

Ordnung zwischen isoliert agierenden Teams

Basierend auf dem Hauptprodukt ThreatQ erlaubt ThreatQ™ Investigations den effizienten Austausch und Ordnung zwischen isoliert arbeiten Teams. Ohne die Lösung können Erkenntnisse und Aufgaben nur schwer austauscht werden. Dabei ergänzt Investigations die Threat-Intelligence-Plattform ThreatQ und bietet die Möglichkeit Aufgaben zu verteilen.

MTTD und MTTR im Zentrum des Interesses

Die Sicherheitsbranche versucht laufend, die mittlere Erkennungszeit (Mean-Time-to-Detection, MTTD) und die mittlere Reaktionszeit (Mean-Time-to-Respond, MTTR) durch Automatisierung zu verkürzen. Schnelles Handeln allein genügt jedoch noch nicht: Vielmehr kommt es darauf an, die richtigen Maßnahmen schneller als je zuvor zu treffen. Zwar können Unternehmen heute Millionen von Datenpunkten zu Bedrohungen priorisieren und in Kontext setzen, doch fällt es ihnen immer noch schwer zu entscheiden, welche Informationen die wichtigsten sind, und die geeigneten Reaktionen zu bestimmen. Handlungsfähigkeit setzt voraus, dass die Mitarbeiter und Teams ein Ereignis, eine Bedrohung oder Gefahrensituation gemeinsam analysieren und verstehen, damit sie dann ihre Reaktionen zuverlässig koordinieren und automatisieren können. Bisher war es jedoch schwierig, schnell ein gemeinsames Verständnis einer Situation herzustellen. Die Lösung ThreatQ Investigations beseitigt dieses Problem, indem sie die gesamte gegebene Situation auf einer einheitlichen visuellen Oberfläche darstellt und dabei auch zeigt, welche Maßnahmen wann und von wem getroffen wurden.

„Wenn verschiedene Analytiker und Teams alle an parallelen Aufgaben arbeiten, werden nicht selten wichtige Gemeinsamkeiten übersehen. Mit ThreatQ Investigations kann jeder Mitwirkende an einer Untersuchung automatisch sehen, wie sich die Aktionen der anderen auf seine eigene Arbeit auswirken und sie ergänzen“, erklärt Leon Ward, VP of Product Management, ThreatQuotient. „ThreatQ Investigations führt Bedrohungsdaten, Beweismaterial, Benutzer und Aktionen in einer einheitlichen, gemeinsamen Umgebung zusammen. Dieses einzigartige Interface fördert die Zusammenarbeit zwischen sämtlichen Parteien, die in den Untersuchungsprozess eingebunden sind.“

Verschärft werden die Probleme bei Sicherheitsoperationen dadurch, dass die Securityteams heute oft stark verteilt sind. ThreatQ Investigations erleichtert die unternehmensweite Kooperation, lässt den einzelnen Mitarbeitern aber zugleich die Freiheit, Theorien zu testen, um sie auf Genauigkeit und Relevanz zu prüfen, bevor sie sie mit der Gruppe austauschen. Von ThreatQ Investigations profitieren sowohl die technischen Mitarbeiter, die die Analysen durchführen, als auch die Entscheider, die auf die Ergebnisse angewiesen sind. Incident-Responder, Malware-Forscher, SOC-Analytiker und Untersuchungsleiter gewinnen mehr Kontrolle, können die richtigen Schritte zur richtigen Zeit einleiten und den gesamten Sicherheitsbetrieb beschleunigen.

„So wie viele Unternehmen sucht auch NTT Security laufend nach neuen und besseren Wegen, um Daten aus verschiedenen Quellen zu erfassen, sie mit eigener Threat Intelligence zu korrelieren und zu analysieren und sie dann zum proaktiven Schutz vor den tagtäglichen realen Bedrohungen zu nutzen“, so Jeremy Scott, Director, Global Threat Research, Global Threat Intelligence Center (GTIC), NTT Security. „ThreatQ Investigations befähigt unser Team nicht nur, Untersuchungen zu koordinieren und zu dokumentieren, sondern auch große Datenmengen visuell zu überblicken. Dies steigert die Effektivität unseres Teams und unserer Analyseprozesse, sodass wir unseren Kunden letztlich eine bessere Erkennung und bessere Erkenntnisse zu Bedrohungen bieten können.“

ThreatQ Investigations nutzt die bestehenden Funktionen der ThreatQ-Plattform und ermöglicht es, Wissen zu gewinnen und auszutauschen. Zu den Anwendungsfällen von ThreatQ Investigations gehören: Erwartungssituationen, in denen die Lösung hilft, neue Bedrohungen schneller zu verstehen, um die Abwehr proaktiv verstärken zu können; Reaktionssituationen, in denen ThreatQ dazu beiträgt, schneller als bisher die richtigen Maßnahmen zu bestimmen und entsprechend zu handeln; und nachträgliche Analysen, um zu erkennen, was künftig besser gemacht werden kann.

Weitere Informationen tum Thema:

ThreatQ Investigations
The industry’s first cybersecurity situation room

]]>
https://www.datensicherheit.de/threatquotient-virtueller-kontrollraum-cybersicherheit/feed 0