Abschnitt 4: Priorisierung
Was ist Predictive Prioritization und welche Rolle spielt es bei risikobasiertem Schwachstellen-Management?
Herkömmliches Schwachstellen-Management liefert Unmengen von Schwachstellendaten, wodurch es für Ihre Sicherheitsteams schwierig – wenn nicht gar unmöglich – ist, Nachforschungen anzustellen und herauszufinden, welche Schwachstellen bei der Behebung Priorität haben.
Bei risikobasiertem Schwachstellen-Management hingegen kommen Tools zum Einsatz, mit deren Hilfe Sie Ihre tatsächlichen Risiken priorisieren und Ihre Schwachstellenüberlastung um 97 % senken können.
Predictive Prioritization von Tenable bietet Ihnen eine effektive Möglichkeit zur Priorisierung Ihrer Schwachstellen. Predictive Prioritization stärkt Ihre Schwachstellen-Management-Prozesse, weil es die Anzahl der Schwachstellen senkt, die Ihre sofortige Aufmerksamkeit erfordern, und die 3 % der Schwachstellen bestimmt, die Sie zuerst beheben sollten.
Predictive Prioritization stützt sich auf maschinelles Lernen, um die wenigen Schwachstellen zu identifizieren, die das größte Risiko für Ihr Unternehmen darstellen, und bietet Ihnen einen kontinuierlichen und vollständigen Einblick in Ihre moderne Angriffsoberfläche.
Predictive Prioritization nutzt Schwachstellendaten von Tenable und kombiniert sie mit Schwachstellen- und Bedrohungsdaten von Dritten. Mit einem fortschrittlichen Data-Science-Algorithmus, der von Tenable Research entwickelt wurde, werden diese Daten dann gemeinsam analysiert.
Durch einen risikobasierten Ansatz zur umfassenden Schwachstellenanalyse ermittelt Predictive Prioritization, mit welcher Wahrscheinlichkeit Angreifer eine Schwäche zum Nachteil Ihres Unternehmens auszunutzen könnten.
Predictive Prioritization wird jede Nacht aktualisiert und analysiert 109.000 separate Schwachstellen. Anschließend macht die Funktion Vorhersagen dazu, ob ein Angreifer in naher Zukunft eine Schwachstelle ausnutzen könnte.
Im Gegensatz zum Common Vulnerability Scoring System (CVSS), das traditionell beim herkömmlichen Schwachstellen-Management zum Einsatz kommt und nach dem über 60 % aller Schwachstellen als „Kritisch“ oder „Hoch“ eingestuft werden, weist Predictive Prioritization jeder Schwachstelle ein Vulnerability Priority Rating (VPR) und ein Asset Criticality Rating (ACR) zu, um die Priorisierung von Schwachstellen für Behebungsmaßnahmen zu unterstützen.
CVSS, VPR und ACR werden im Anschluss ausführlicher behandelt.
Was ist ein Vulnerability Priority Rating (VPR)?
Beim herkömmlichen Schwachstellen-Management bildet das Common Vulnerability Scoring System (CVSS) das theoretische Risiko ab, das eine Schwachstelle potenziell mit sich bringen könnte.
CVSS-Bewertungen werden auf einer Skala von 0 (niedrigste Priorität) bis 10 (kritischste Einstufung) angegeben. Leider werden rund 60 % aller Schwachstellen nach dem CVSS mit einer „hohen“ oder „kritischen“ CVSS-Bewertung versehen, selbst wenn sie für Ihr Unternehmen möglicherweise kaum ein Risiko darstellen.
Das CVSS trägt weder dem konkreten Risiko noch der Kritikalität der einzelnen Assets in Ihrer Umgebung Rechnung. Dies sind jedoch entscheidende Informationen, die Sie zur effektiven Priorisierung von Behebungsmaßnahmen benötigen.
Bei risikobasiertem Schwachstellen-Management baut Predictive Prioritization von Tenable auf dem CVSS auf und antizipiert, mit welcher Wahrscheinlichkeit ein Bedrohungsakteur eine Schwachstelle ausnutzt. Darüber hinaus unterscheidet Predictive Prioritization zwischen konkreten und theoretischen Risiken. Tenable ergänzt das CVSS durch ein Vulnerability Priority Rating (VPR) und ein Asset Criticality Rating (ACR).
Das VPR vermittelt Ihnen einen besseren Einblick in Risiken, da es Bedrohungs- und Angriffsreichweite, Schwachstellenauswirkungen und Bedrohungsbewertungen enthält. Das ACR hingegen gibt die Kritikalität jedes Assets in Ihrem Netzwerk an – basierend auf mehreren wichtigen Faktoren.
Tenable berechnet das VPR für die meisten Schwachstellen und aktualisiert es regelmäßig, sodass es der aktuellen Bedrohungslandschaft entspricht.
Das VPR nutzt einen Machine Learning-Algorithmus und Threat-Intelligence, um jede Schwachstelle zu analysieren, die jemals in der National Vulnerability Database (NVD) veröffentlicht wurde. Schwachstellen, die nicht in der NVD aufgeführt sind, erhalten keinen VPR. Sie können diese Schwachstellen jedoch auf der Grundlage ihrer CVSS-Bewertung beheben.
VPR-Skala
VPR-Bewertungen reichen von 0,1 bis 10,0, wobei höhere Werte für eine höhere Wahrscheinlichkeit einer Ausnutzung stehen.
- Kritisch: 9,0 bis 10,0
- Hoch: 7,0 bis 8,9
- Mittel: 4,0 bis 6,9
- Niedrig: 0,1 bis 3,9
Berechnung von VPR-Bewertungen
Hier einige wichtige Faktoren, die in die Berechnung von VPR-Bewertungen einfließen:
- Alter der Schwachstelle: Anzahl der Tage seit Veröffentlichung der Schwachstelle in der NVD
- CVSS-Auswirkungsbewertung: Die von NVD bereitgestellte CVSSv3-Auswirkungsbewertung (wenn es keine NVD-Bewertung gibt, zeigt Tenable Vulnerability Management eine von Tenable prognostizierte Bewertung an)
- Reifegrad des Exploit-Codes: Relativer Reifegrad eines potenziellen Exploits basierend auf der Existenz, Ausgereiftheit und Verbreitung von Exploit-Intelligence aus internen und externen Quellen
- Produktabdeckung: Relative Anzahl der verschiedenen, von der Schwachstelle betroffenen Einzelprodukte
- Bedrohungsquellen: Alle Quellen, in denen entsprechende Bedrohungsereignisse auftraten
- Intensität der Bedrohung: Relative Intensität basierend auf der Anzahl und Häufigkeit kürzlich beobachteter Bedrohungsereignisse im Zusammenhang mit dieser Schwachstelle
- Aktualität der Bedrohung: Anzahl der Tage (0 bis 730) seit Eintritt eines Bedrohungsereignisses
- Beispiele für Bedrohungsereignisse:
- Ausnutzung der Schwachstelle
- Veröffentlichung von Exploit-Code für die Schwachstelle in einem öffentlich zugänglichen Repository
- Diskussion der Schwachstelle in Mainstream-Medien
- Sicherheitsforschung
- Diskussion der Schwachstelle in sozialen Medien
- Diskussion der Schwachstelle im Dark Web sowie im Untergrund
- Diskussion der Schwachstelle in Hacker-Foren
VPR-Bewertungen vervollständigen die CVSS-Bewertungen, die im herkömmlichen Schwachstellen-Nanagement verwendet werden. Gemäß CVSS-Bewertung werden viele Schwachstellen häufig als „Hoch“ oder „Kritisch“ eingestuft, obwohl es in der Praxis gar keine aktiven Exploits gibt. VPR-Bewertungen vermitteln Ihnen daher ein besseres Verständnis des tatsächlichen Risikos.
Was ist eine CVSS-Bewertung (Common Vulnerability Scoring System)?
Das Common Vulnerability Scoring System (CVSS) bildet das theoretische Risiko einer Schwachstelle ab.
Genau wie VPR-Bewertungen beginnen auch CVSS-Bewertungen bei einem Wert von „0“ für die niedrigste Priorität und reichen bis zu einem Wert von „10“ – der kritischsten Einstufung. Nach dem CVSS werden jedoch etwa 60 % aller Schwachstellen als „Hoch“ oder „Kritisch“ eingestuft, selbst wenn sie für Ihr Unternehmen möglicherweise kaum ein Risiko darstellen.
Das CVSS trägt weder dem konkreten Risiko noch der Asset-Kritikalität in Ihrer Umgebung Rechnung. Diese entscheidenden Informationen, die in VPR-Bewertungen enthalten sind, benötigen Sie zur effektiven Priorisierung von Behebungsmaßnahmen.
Laut einem Artikel in Security Week erzielt ein Sicherheitsteam, das darauf fokussiert ist, Schwachstellen auf der Grundlage einer hohen CVSS-Bewertung zu beheben, vergleichbare Ergebnisse, als wenn es wahllos irgendeine Schwachstelle zur Behebung auswählt.
In anderen Worten: Eine CVSS-Bewertung gibt keinerlei Aufschluss darüber, ob eine Ausnutzung wahrscheinlich ist oder ob die Bedrohung überhaupt jemals aktiv durch einen Angreifer ausgenutzt wurde.
Was ist ein Asset Criticality Rating (ACR)?
Das Asset Criticality Rating (ACR) gibt die Kritikalität jedes Assets in Ihrem Netzwerk an. Es beruht auf mehreren wichtigen Metriken, wie etwa Geschäftszweck, Asset-Typ, Standort, Konnektivität, Funktionen und Drittdaten.
ACR-Bewertungen reichen von 0 bis 10: Ein Asset mit einem niedrigen ACR wird nicht als geschäftskritisch betrachtet. Bei einem hohen ACR ist dies jedoch der Fall.
ACR-Skala
- Kritisch: 9 bis 10
- Hoch: 7 bis 8
- Mittel: 4 bis 6
- Niedrig: 1 bis 3
Tenable.io gibt einen ACR-Wert an, wenn Sie ein Asset in Ihrem Netzwerk erstmals scannen. Danach wird das ACR von Tenable automatisch generiert und täglich aktualisiert.
Sie können ACR-Werte entsprechend den Anforderungen Ihres Unternehmens anpassen.
Berechnung von ACR-Bewertungen
Hier einige wichtige Faktoren, die in die Berechnung von VPR-Bewertungen einfließen:
- Gerätetyp
- Zum Beispiel: Ein Hypervisor (das Gerät ist ein Hypervisor des Typs 1, der eine virtuelle Maschine hostet) oder ein Drucker (das Gerät ist ein Netzwerkdrucker oder Printserver)
- Funktion des Geräts
- Der Geschäftszweck des Geräts. Zum Beispiel: Es ist ein Dateiserver oder ein Mailserver.
- Internet-Exposition
- Der Standort des Geräts in Ihrem Netzwerk und seine Nähe zum Internet. Zum Beispiel: Es handelt sich um ein internes Gerät in Ihrem lokalen Netzwerk (LAN), das sich möglicherweise hinter einer Firewall befindet, oder ein externes Gerät außerhalb Ihres LAN, das sich nicht hinter einer Firewall befindet.
Was ist ein Asset Exposure Score (AES)?
Neben VPR- und ACR-Bewertungen stellt Tenable auch einen Asset Exposure Score (AES) zur Verfügung, der Ihren Ansatz für risikobasiertes Schwachstellen-Management weitreichender unterstützen kann.
Tenable berechnet den AES anhand der gegenwärtig mit einem Asset verbundenen ACR- und VPR-Bewertungen. Im AES wird die von einer Schwachstelle ausgehende Bedrohung für jedes Asset sowie dessen Kritikalität und Scan-Verhalten erfasst, um die Schwachstellenlandschaft des Assets zu quantifizieren.
Der AES gibt die relative Gefährdung jedes Assets auf einer Skala von 0 bis 1000 an. Ein höherer AES weist auf eine höhere Gefährdung hin.
Was ist ein Cyber Exposure Score?
Der Cyber Exposure Score (CES) kombiniert Ihr VPR mit Ihrem ACR und gibt das Cyberrisiko Ihres Unternehmens an.
Der CES reicht von 0 (minimales Risiko) bis 1.000 (höchstes Risiko) und stellt den Durchschnitt aller AES-Bewertungen in Ihrem Unternehmen dar.
Bei der Priorisierung von Behebungsmaßnahmen unterstützt Sie der CES durch:
- Untersuchung der Asset-Kritikalität
- Analyse Ihrer Geschäftsziele
- Prüfung des Schweregrads jeder potenziellen Bedrohung in Ihrer Angriffsoberfläche
- Ermittlung der Wahrscheinlichkeit, mit der Angreifer die Bedrohung in den kommenden 28 Tagen ausnutzen
- Verständnis des Bedrohungskontexts in Bezug darauf, wie hoch das Risiko einer Ausnutzung in der Praxis ist
Der CES hilft auch dabei, Ihren Erfolg im Bereich des risikobasierten Schwachstellen-Managements anhand von Benchmarks intern und mit ähnlichen Unternehmen der Branche zu vergleichen.
Tenable errechnet Ihren CES als numerischen Wert zwischen 0 und 1.000, basierend auf den AES-Werten aller in den vergangenen 90 Tagen gescannten Assets. Je höher der CES, umso höher ist das Risiko.
Cyber Exposure Scores sind verfügbar für:
- Ihr gesamtes Unternehmen
- Assets in einem bestimmten geschäftlichen Kontext