Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Fragen zu Predictive Prioritization? Hier finden Sie 16 Antworten

Zu Beginn dieses Jahres stellte Tenable Predictive Prioritization vor, ein bahnbrechendes, datenwissenschaftlich gestütztes Verfahren, bei dem die einzelnen Schwachstellen nach der Wahrscheinlichkeit, dass sie für einen Angriff ausgenutzt werden, neu priorisiert werden. Im Folgendes beantworten wir Ihre 16 dringendsten Fragen dazu, was diese neue Funktionalität für Ihr Schwachstellen-Management bedeutet.

2018 wurden 16.500 neue Schwachstellen aufgedeckt, von denen die meisten in CVSS als „Hoch“ oder „Kritisch“ eingestuft wurden. Wie können Sie angesichts der Zunahme von Schwachstellen die größten Bedrohungen für Ihr Unternehmen ermitteln – und wissen, was zuerst behoben werden muss? Predictive Prioritization ist ein innovatives Verfahren, das Unternehmen einen völlig neuen Ansatz zur Eindämmung der Schwachstellenflut bietet – damit Sie sich auf die Behebung der Schwachstellen konzentrieren können, auf die es wirklich ankommt. Sie wüssten gern, wie funktioniert Predictive Prioritization funktioniert? Erhalten Sie Antworten auf diese und andere häufige Fragen. 

F. Was ist Predictive Prioritization?

A. Predictive Prioritization ist ein Verfahren, bei dem Schwachstellen nach der Wahrscheinlichkeit priorisiert werden, dass sie für einen Angriff ausgenutzt werden.

F. Was ist der Unterschied zwischen Predictive Prioritization und einem Vulnerability Priority Rating (VPR)?

A. Das Ergebnis des Predictive Prioritization-Verfahrens ist der VPR-Wert (Vulnerability Priority Rating). Er gibt die Priorität für die Behebung einer bestimmten Schwachstelle an. Der VPR-Wert verwendet eine Skala von 0 bis 10, wobei 10 dem höchsten Schweregrad entspricht. Mehr über VPR erfahren Sie im Video unten.

F. Wozu benötige ich einen VPR-Wert? Werden Schwachstellen nicht schon durch CVSS priorisiert?

A. CVSS ist gut dafür geeignet, den Wirkungsbereich und die Auswirkungen von Schwachstellen zu bestimmen. Am CVSS-Wert lässt sich ablesen, was passieren könnte, wenn eine bestimmte Schwachstelle ausgenutzt wird. Außerdem liefert CVSS eine Grundlage zur Einschätzung der Wahrscheinlichkeit, dass eine Schwachstelle angegriffen wird. In der aktuellen Version ist es jedoch nicht detailliert genug für eine effektive Priorisierung. Etwa 60 % aller CVEs werden nach CVSS mit einem Schweregrad von „Hoch“ oder „Kritisch“ eingestuft.

Predictive Prioritization orientiert sich ebenfalls am CVSS-Framework (siehe Abbildung unten), optimiert dieses jedoch, indem die CVSS-Komponenten zu Ausnutzbarkeit und Reifegrad des Exploit-Codes durch einen mithilfe von maschinellem Lernen ermittelten Bedrohungswert ersetzt werden, in den eine ganze Reihe von Datenquellen einfließen. Das bedeutet, dass Unternehmen ihre Behebungsstrategie auf die Schwachstellen konzentrieren können, bei denen:

  • eine Ausnutzung wahrscheinlich ist
  • im Falle einer Ausnutzung schwerwiegende Auswirkungen entstünden

Von CVSS zu Predictive Prioritization

F. Ersetzen VPR-Bewertungen die CVSS-Bewertungen?

A. Nein. Wir empfehlen, Ihre bestehenden Verfahren zur Priorisierung (z. B. CVSS) durch VPR zu ergänzen.

F. Wie lassen sich die Schweregradbereiche von VPR mit denjenigen bei CVSS vergleichen?

A. Die Bereiche werden bei CVSS und VPR anhand derselben Grenzwerte festgelegt. Allerdings sind die Schwachstellen aufgrund des Priorisierungsprozesses ganz anders auf die einzelnen Bereiche verteilt (siehe Abbildung unten).

F. Welche Schwachstellen erhalten einen VPR-Wert?

A. Derzeit generiert Predictive Prioritization einen VPR-Wert für alle Schwachstellen, die einen CVE-Eintrag in der U.S. National Vulnerability Database (NVD) haben. Wir planen, künftig noch weitere Schwachstellen durch Predictive Prioritization bewerten zu lassen.

F. Kann sich der VPR-Wert ändern?

A. Ja, Predictive Prioritization berechnet die VPR-Werte für jede CVE täglich neu. In Abhängigkeit von der Bedrohungslandschaft kann das Ergebnis anders ausfallen.

F. Generiert Predictive Prioritization einen VPR-Wert für CVEs, die keine CVSS-Bewertung haben?

A. Ja. Wenn für eine CVE keine CVSS-Metriken/-Bewertungen veröffentlicht wurden, berechnet Predictive Prioritization den VPR-Wert anhand verfügbarer Informationen (z. B. Beschreibung der Schwachstelle), die in ein Modell eingespeist werden, das die Bewertung auf der Grundlage von im Text vorkommenden Begriffen prognostiziert.

Wenn die Beschreibung der Schwachstelle beispielsweise die Begriffe „Adobe“ und „arbitrary code execution“ (Ausführung von beliebigem Code) enthält, prognostiziert das Modell aufgrund früherer Aktivitäten bei Schwachstellen mit ähnlichen Merkmalen möglicherweise hohe CVSS-Werte. Sobald die eigentlichen CVSS-Bewertungen verfügbar sind, ersetzen sie unsere prognostizierten Werte. Predictive Prioritization ist hier von Vorteil, da es nach Bekanntwerden einer Schwachstelle in der Regel 45 Tage dauert, bis CVSS-Bewertungen in der NVD veröffentlicht werden.

F. Ich möchte VPR-Bewertungen besser verstehen. Was bedeutet die VPR-Bewertung „Kritisch“ (> 9) genau? Und was heißt die VPR-Bewertung „Niedrig“?

A. Ganz allgemein bedeutet die VPR-Bewertung „Kritisch“, dass die betreffende Schwachstelle mit hoher Wahrscheinlichkeit ausgenutzt wird und/oder eine erfolgreiche Ausnutzung dieser Schwachstelle erhebliche Auswirkungen hätte.

Schwachstellen, bei denen die Wahrscheinlichkeit einer Ausnutzung gering ist und/oder die Auswirkungen im Falle eines Angriffs gering wären, weist Predictive Prioritization hingegen die VPR-Bewertung „Niedrig“ zu. Allerdings gilt es stets zu bedenken, dass wir niemals mit hundertprozentiger Sicherheit ausschließen können, dass eine Schwachstelle ausgenutzt wird.

F. Laut Tenable hilft mir Predictive Prioritization, mich auf die 3 % zu konzentrieren, die wirklich wichtig sind. Welche 3 % sind damit gemeint?

A. Diese 3 % entsprechen den Schwachstellen mit der VPR-Bewertung „Hoch“ oder „Kritisch“. Es handelt sich also um die Schwachstellen, die bei der Behebung Priorität haben sollten. Wir empfehlen Ihnen, zunächst die Schwachstellen mit dem VPR-Wert „Hoch“ oder „Kritisch“ zu beheben und so die Liste von oben nach unten abzuarbeiten. Keinesfalls raten wir Ihnen, die übrigen 97 % der Schwachstellen zu ignorieren.

F. Inwiefern unterscheidet sich VPR vom temporalen CVSS-Wert (CVSS Temporal Score)?

A. Der Unterschied zwischen den beiden Werten besteht hauptsächlich darin, dass es sich bei VPR um eine zukunftsgerichtete Prognose handelt, während CVSS ausschließlich die Vergangenheit betrifft. VPR berücksichtigt nicht nur die Verfügbarkeit und Funktionalität von Exploit-Code, sondern prognostiziert außerdem, wie wahrscheinlich ein Angriff in nächster Zeit ist. Darüber hinaus wertet VPR die Informationen zur Ausnutzung von Schwachstellen detailgenauer aus.

F. „Predictive“ klingt interessant, aber was bringt es mir?

A. Anstatt Schwachstellen ausschließlich anhand historischer Daten zu bewerten, werden diese Daten in Verbindung mit einem prädiktiven Algorithmus für maschinelles Lernen eingesetzt. Dies hilft uns, wahrscheinliche Ereignisse zu antizipieren und entsprechende Vorkehrungen zu treffen (anstatt uns mit Vergangenem zu befassen). Für das Risikomanagement ist es wichtig, über vergangene Ereignisse Bescheid zu wissen. Wesentlich wichtiger ist jedoch zu wissen, was voraussichtlich in der Zukunft geschehen wird.

F. Gibt es einen Unterschied zwischen Ausnutzbarkeit und Ausnutzung?

A. Ja. Ausnutzbarkeit bedeutet einfach, dass ein Exploit verfügbar ist. Das könnte auch nur irgendein windiges Proof-of-Concept sein, das in einem öffentlichen Archiv gepostet wurde. Eine ausgenutzte Schwachstelle dagegen ist eine ernste Angelegenheit – es bedeutet, dass eine Schwachstelle erfolgreich durch ein Exploit angegriffen wurde.

F. Was, wenn eine Schwachstelle bereits ausgenutzt wurde?

A. Auch wenn eine Schwachstelle in der Vergangenheit bereits ausgenutzt wurde, kann sich die Wahrscheinlichkeit, dass sie in der Zukunft aktiv ausgenutzt wird (also für einen Cyberangriff verwendet wird), im Laufe der Zeit ändern.

F. Wird der gesamte Verlauf jeder einzelnen Schwachstelle analysiert?

A. Wir analysieren alle Informationen, die seit Veröffentlichung der Schwachstelle verfügbar sind.

F. Welche Daten werden im maschinellen Lernmodell für den Bedrohungswert berücksichtigt?

A. Zur Berechnung des Bedrohungswerts verwendet Predictive Prioritization derzeit über 150 einzelne Merkmale als Eingabewerte für das maschinelle Lernmodell. Ein Merkmal (bzw. ein Eingabewert) ist ein Attribut einer CVE, mit dem wir die CVE näher beschreiben oder besser verstehen können. Hier einige Beispiele:

  • Alter der Schwachstelle
  • Verfügbarkeit von Exploit-Kits
  • Diskussionen im Dark Web

Generell werden die Merkmale in der Regel in folgende Kategorien eingeteilt:

  • Frühere Bedrohungsmuster (z. B. Informationen über die Ausnutzung in der Vergangenheit: Wie lange her? Häufigkeit?)
  • Frühere Bedrohungsquellen (z. B. bestimmte Quellen, die eine Ausnutzung belegen)
  • Schwachstellenmetriken (CVSS-Metriken wie Zugriffsvektor, Angriffskomplexität, Basisbewertung usw.)
  • Schwachstellen-Metadaten (Alter der Schwachstelle, CVE, von der Schwachstelle betroffener Anbieter/betroffene Software usw.)
  • Verfügbarkeit von Exploits, ermittelt mithilfe von Threat-Intelligence-Daten (ist die Schwachstelle in Exploit-Database und/oder Metasploit gelistet?)

 Derzeit stammen diese Daten aus sieben Arten von Quellen:

  • Websites zur Informationssicherheit
  • Blogs
  • Veröffentlichungen von Schwachstellen
  • Social Media
  • Foren
  • Dark Web
  • Schwachstellenlandschaft

Weitere Ressourcen zum Thema Predictive Prioritization

Wir haben diese FAQ anhand der am häufigsten gestellten Fragen unserer Kunden zu Predictive Prioritization zusammengestellt und werden diesen Beitrag bei Bedarf aktualisieren.

Weitere Ressourcen, die für Sie hilfreich sein können:

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen