Branche, Aktuelles, Studien - geschrieben von dp am Donnerstag, September 21, 2023 12:32 - noch keine Kommentare
Web-Anwendungen laut CyCognito-Studie großes Risiko für Unternehmen
Web-Applikationen zur Verarbeitung persönlicher Informationen oft nicht ausreichend vor Angriffen geschützt
[datensicherheit.de, 21.09.2023] CyCognito rät zu konsequentem Risikomanagement – „als Basis zum Priorisieren und Beheben wichtiger Schwachstellen in der externen Cyber-Angriffsfläche“. Dieser Empfehlung liegen Erkenntnisse aus einer aktuellen Studie zugrunde: Demnach gehören Web-Anwendungen zu den „größten Sicherheitsrisiken der externen Cyber-Angriffsfläche von Unternehmen“ – und seien trotzdem „viel zu oft nicht ausreichend geschützt“. Dies sei ein zentrales Ergebnis des vorliegenden „State of External Exposure Management Report“. Laut CyCognito wurden im Rahmen dieser Studie zwischen Juni 2022 und Mai 2023 3,5 Millionen über das Internet erreichbare „Assets“ wie Zertifikate, Domänen, Web-Server, API-Endpunkte und Web-Apps auf Schwachstellen untersucht. „Dabei wiesen 70 Prozent eklatante Sicherheitslücken auf, und knapp drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mail-Adresse, Kontodaten oder Passnummern verarbeiten, waren mindestens einer gefährlichen und öffentlich bekannten – aber vom Unternehmen bisher nicht behobenen – Schwachstelle ausgesetzt.“ Zehn Prozent dieser Apps hätten sogar eine für Angreifer leicht auszunutzende Lücke enthalten.
CyCognito rät zu regelmäßigen Überprüfung und Analyse betroffener Assets im Sinne eines konsequenten Risikomanagements…
Web-Apps machen 22% der typischen externen Cyber-Angriffsfläche aus
Von der äußeren Cyber-Angriffsfläche gehe für Unternehmen ein hohes Risiko aus. Um dieses effektiv zu minimieren, empfiehlt der CyCognito-Report, „neben regelmäßigen Überprüfungen die betroffenen ,Assets’ im Sinne eines konsequenten Risikomanagements im individuellen Kontext zu betrachten und entsprechend einzustufen, anstatt ausschließlich auf allgemeine Bewertungssysteme wie das ,Common Vulnerability Scoring System’ (CVSS) zu setzen.“ Denn nicht jede Sicherheitslücke berge für jedes Unternehmen die gleiche Gefahr.
Web-Apps machten 22 Prozent der typischen externen Cyber-Angriffsfläche aus und mindestens 30 Prozent von ihnen enthielten Sicherheitslücken. „Web-Applikationen werden oft zur Kommunikation mit Endkunden genutzt und stellen somit ein lohnendes Ziel für Cyber-Angriffe dar.“ Denn solche Apps arbeiteten häufig mit wertvollen personenbezogenen Daten und seien nicht nur anfällig für Fehlkonfigurationen, sondern auch für Zero-Day-Exploits.
Dass das von diesen Anwendungen ausgehende Risiko stark unterschätzt werde, zeigten die Zahlen des Reports: „Fast ein Drittel der untersuchten Web-Apps nutzen für die Kommunikation kein HTTPS-Protokoll, 70 Prozent wurden nicht von einer ,Web Application Firewall’ (WAF) geschützt, und 25 Prozent nutzten weder HTTPS noch eine WAF.“
56% der kritischen und hochsensiblen Schwachstellen über Web-Assets in Unterorganisationen
Die durch mit dem Internet verbundene „Assets“ entstehende äußere Cyber-Angriffsfläche von Unternehmen sei dynamisch und ständigen Änderungen unterworfen. Eine große Fluktuation aktiver und genutzter „Assets“ von etwa zehn Prozent im Monat erschwere es Unternehmen, einen Überblick zu behalten und die Bedrohungslage realistisch einzuschätzen.
„So ging ein Unternehmen von einem jährlichen Wachstum seiner äußeren Cyber-Angriffsfläche von drei Prozent aus, tatsächlich waren es 20 Prozent.“ Erschwert würden der Überblick und ein effektives Risikomanagement außerdem mit der Anzahl angegliederter Tochtergesellschaften:
„So fand eine frühere Studie von CyCognito heraus, dass 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über ,Assets’ in Unterorganisationen entstehen.“
Individuellen Kontext beachten: Vor allem Web-Apps für Angreifer lohnendes Ziel
Um ein Risikomanagement der externen Cyber-Angriffsfläche auch unter komplexen Voraussetzungen möglichst effizient betreiben zu können, soll die Studie „CI(S)Os“ einige Empfehlungen an die Hand geben. So sollten Security-Teams nicht nur besonders gefährdete „Assets“ priorisieren, sondern untersuchen, welche bekannten Sicherheitslücken im unternehmenseigenen Kontext möglicherweise gar nicht so schwer wiegen – und die betroffenen „Assets“ entsprechend depriorisieren. Denn nicht immer seien die von offiziellen Standards wie CVSS bewerteten Schwachstellen für die eigene Organisation tatsächlich so gravierend, wie der offizielle Score vermuten lasse.
Der „State of External Exposure Management Report“ zeigt laut CyCognito: „Von den ,Assets’, die in einen Kontext gesetzt wurden, der unter anderem auch Verhaltensmuster von Angreifern berücksichtigt, konnten 35 Prozent trotz eines hohen CVSS-Scores als weniger kritisch eingestuft werden.“ Eine klare Priorisierung helfe Unternehmen, mit ihren begrenzten IT-Sicherheitsressourcen hauszuhalten und ihre individuell bedeutendsten Schwachstellen zuerst schließen zu können.
„Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung“, betont Dr. Georg Hess, „Regional Sales Director“ bei CyCognito, in seiner Stellungnahme. Er warnt: „Vor allem Web-Apps sind für Angreifer ein lohnendes und oftmals einfach auszunutzendes Ziel.“ Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, welche mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.
Weitere Informationen zum Thema:
CYCOGNITO
Web Apps are Leaving PII Exposed
State of External Exposure Management Report
Aktuelles, Experten - Dez 10, 2024 10:36 - noch keine Kommentare
vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
weitere Beiträge in Experten
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
Aktuelles, Branche, Studien - Dez 9, 2024 13:38 - noch keine Kommentare
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
weitere Beiträge in Branche
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren