Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Fragen zu Predictive Prioritization? Hier finden Sie 16 Antworten

Zu Beginn dieses Jahres stellte Tenable Predictive Prioritization vor, ein bahnbrechendes, datenwissenschaftlich gestütztes Verfahren, bei dem die einzelnen Schwachstellen nach der Wahrscheinlichkeit, dass sie für einen Angriff ausgenutzt werden, neu priorisiert werden. Im Folgendes beantworten wir Ihre 16 dringendsten Fragen dazu, was diese neue Funktionalität für Ihr Schwachstellen-Management bedeutet.

2018 wurden 16.500 neue Schwachstellen aufgedeckt, von denen die meisten in CVSS als „Hoch“ oder „Kritisch“ eingestuft wurden. Wie können Sie angesichts der Zunahme von Schwachstellen die größten Bedrohungen für Ihr Unternehmen ermitteln – und wissen, was zuerst behoben werden muss? Predictive Prioritization ist ein innovatives Verfahren, das Unternehmen einen völlig neuen Ansatz zur Eindämmung der Schwachstellenflut bietet – damit Sie sich auf die Behebung der Schwachstellen konzentrieren können, auf die es wirklich ankommt. Sie wüssten gern, wie funktioniert Predictive Prioritization funktioniert? Die Antwort auf diese und andere gängige Fragen erhalten Sie in den FAQ zu Predictive Prioritization.

F. Was ist Predictive Prioritization?

A. Predictive Prioritization ist ein Verfahren, bei dem Schwachstellen nach der Wahrscheinlichkeit priorisiert werden, dass sie für einen Angriff ausgenutzt werden.

F. Was ist der Unterschied zwischen Predictive Prioritization und einem Vulnerability Priority Rating (VPR)?

A. Das Ergebnis des Predictive Prioritization-Verfahrens ist der VPR-Wert (Vulnerability Priority Rating). Er gibt die Priorität für die Behebung einer bestimmten Schwachstelle an. Der VPR-Wert verwendet eine Skala von 0 bis 10, wobei 10 dem höchsten Schweregrad entspricht. Mehr über VPR erfahren Sie im Video unten.

F. Wozu benötige ich einen VPR-Wert? Werden Schwachstellen nicht schon durch CVSS priorisiert?

A. CVSS ist gut dafür geeignet, den Wirkungsbereich und die Auswirkungen von Schwachstellen zu bestimmen. Am CVSS-Wert lässt sich ablesen, was passieren könnte, wenn eine bestimmte Schwachstelle ausgenutzt wird. Außerdem liefert CVSS eine Grundlage zur Einschätzung der Wahrscheinlichkeit, dass eine Schwachstelle angegriffen wird. In der aktuellen Version ist es jedoch nicht detailliert genug für eine effektive Priorisierung. Etwa 60 % aller CVEs werden nach CVSS mit einem Schweregrad von „Hoch“ oder „Kritisch“ eingestuft.

Predictive Prioritization orientiert sich ebenfalls am CVSS-Framework (siehe Abbildung unten), optimiert dieses jedoch, indem die CVSS-Komponenten zu Ausnutzbarkeit und Reifegrad des Exploit-Codes durch einen mithilfe von maschinellem Lernen ermittelten Bedrohungswert ersetzt werden, in den eine ganze Reihe von Datenquellen einfließen. Das bedeutet, dass Unternehmen ihre Behebungsstrategie auf die Schwachstellen konzentrieren können, bei denen:

  • eine Ausnutzung wahrscheinlich ist
  • im Falle einer Ausnutzung schwerwiegende Auswirkungen entstünden

Von CVSS zu Predictive Prioritization

F. Ersetzen VPR-Bewertungen die CVSS-Bewertungen?

A. Nein. Wir empfehlen, Ihre bestehenden Verfahren zur Priorisierung (z. B. CVSS) durch VPR zu ergänzen.

F. Wie lassen sich die Schweregradbereiche von VPR mit denjenigen bei CVSS vergleichen?

A. Die Bereiche werden bei CVSS und VPR anhand derselben Grenzwerte festgelegt. Allerdings sind die Schwachstellen aufgrund des Priorisierungsprozesses ganz anders auf die einzelnen Bereiche verteilt (siehe Abbildung unten).

F. Welche Schwachstellen erhalten einen VPR-Wert?

A. Derzeit generiert Predictive Prioritization einen VPR-Wert für alle Schwachstellen, die einen CVE-Eintrag in der U.S. National Vulnerability Database (NVD) haben. Wir planen, künftig noch weitere Schwachstellen durch Predictive Prioritization bewerten zu lassen.

F. Kann sich der VPR-Wert ändern?

A. Ja, Predictive Prioritization berechnet die VPR-Werte für jede CVE täglich neu. In Abhängigkeit von der Bedrohungslandschaft kann das Ergebnis anders ausfallen. In unserem technischen Whitepaper erfahren Sie mehr darüber.

F. Generiert Predictive Prioritization einen VPR-Wert für CVEs, die keine CVSS-Bewertung haben?

A. Ja. Wenn für eine CVE keine CVSS-Metriken/-Bewertungen veröffentlicht wurden, berechnet Predictive Prioritization den VPR-Wert anhand verfügbarer Informationen (z. B. Beschreibung der Schwachstelle), die in ein Modell eingespeist werden, das die Bewertung auf der Grundlage von im Text vorkommenden Begriffen prognostiziert.

Wenn die Beschreibung der Schwachstelle beispielsweise die Begriffe „Adobe“ und „arbitrary code execution“ (Ausführung von beliebigem Code) enthält, prognostiziert das Modell aufgrund früherer Aktivitäten bei Schwachstellen mit ähnlichen Merkmalen möglicherweise hohe CVSS-Werte. Sobald die eigentlichen CVSS-Bewertungen verfügbar sind, ersetzen sie unsere prognostizierten Werte. Predictive Prioritization ist hier von Vorteil, da es nach Bekanntwerden einer Schwachstelle in der Regel 45 Tage dauert, bis CVSS-Bewertungen in der NVD veröffentlicht werden.

F. Ich möchte VPR-Bewertungen besser verstehen. Was bedeutet die VPR-Bewertung „Kritisch“ (> 9) genau? Und was heißt die VPR-Bewertung „Niedrig“?

A. Ganz allgemein bedeutet die VPR-Bewertung „Kritisch“, dass die betreffende Schwachstelle mit hoher Wahrscheinlichkeit ausgenutzt wird und/oder eine erfolgreiche Ausnutzung dieser Schwachstelle erhebliche Auswirkungen hätte.

Schwachstellen, bei denen die Wahrscheinlichkeit einer Ausnutzung gering ist und/oder die Auswirkungen im Falle eines Angriffs gering wären, weist Predictive Prioritization hingegen die VPR-Bewertung „Niedrig“ zu. Allerdings gilt es stets zu bedenken, dass wir niemals mit hundertprozentiger Sicherheit ausschließen können, dass eine Schwachstelle ausgenutzt wird.

F. Laut Tenable hilft mir Predictive Prioritization, mich auf die 3 % zu konzentrieren, die wirklich wichtig sind. Welche 3 % sind damit gemeint?

A. Diese 3 % entsprechen den Schwachstellen mit der VPR-Bewertung „Hoch“ oder „Kritisch“. Es handelt sich also um die Schwachstellen, die bei der Behebung Priorität haben sollten. Wir empfehlen Ihnen, zunächst die Schwachstellen mit dem VPR-Wert „Hoch“ oder „Kritisch“ zu beheben und so die Liste von oben nach unten abzuarbeiten. Keinesfalls raten wir Ihnen, die übrigen 97 % der Schwachstellen zu ignorieren.

F. Inwiefern unterscheidet sich VPR vom temporalen CVSS-Wert (CVSS Temporal Score)?

A. Der Unterschied zwischen den beiden Werten besteht hauptsächlich darin, dass es sich bei VPR um eine zukunftsgerichtete Prognose handelt, während CVSS ausschließlich die Vergangenheit betrifft. VPR berücksichtigt nicht nur die Verfügbarkeit und Funktionalität von Exploit-Code, sondern prognostiziert außerdem, wie wahrscheinlich ein Angriff in nächster Zeit ist. Darüber hinaus wertet VPR die Informationen zur Ausnutzung von Schwachstellen detailgenauer aus.

F. „Predictive“ klingt interessant, aber was bringt es mir?

A. Anstatt Schwachstellen ausschließlich anhand historischer Daten zu bewerten, werden diese Daten in Verbindung mit einem prädiktiven Algorithmus für maschinelles Lernen eingesetzt. Dies hilft uns, wahrscheinliche Ereignisse zu antizipieren und entsprechende Vorkehrungen zu treffen (anstatt uns mit Vergangenem zu befassen). Für das Risikomanagement ist es wichtig, über vergangene Ereignisse Bescheid zu wissen. Wesentlich wichtiger ist jedoch zu wissen, was voraussichtlich in der Zukunft geschehen wird.

F. Gibt es einen Unterschied zwischen Ausnutzbarkeit und Ausnutzung?

A. Ja. Ausnutzbarkeit bedeutet einfach, dass ein Exploit verfügbar ist. Das könnte auch nur irgendein windiges Proof-of-Concept sein, das in einem öffentlichen Archiv gepostet wurde. Eine ausgenutzte Schwachstelle dagegen ist eine ernste Angelegenheit – es bedeutet, dass eine Schwachstelle erfolgreich durch ein Exploit angegriffen wurde.

F. Was, wenn eine Schwachstelle bereits ausgenutzt wurde?

A. Auch wenn eine Schwachstelle in der Vergangenheit bereits ausgenutzt wurde, kann sich die Wahrscheinlichkeit, dass sie in der Zukunft aktiv ausgenutzt wird (also für einen Cyberangriff verwendet wird), im Laufe der Zeit ändern.

F. Wird der gesamte Verlauf jeder einzelnen Schwachstelle analysiert?

A. Wir analysieren alle Informationen, die seit Veröffentlichung der Schwachstelle verfügbar sind.

F. Welche Daten werden im maschinellen Lernmodell für den Bedrohungswert berücksichtigt?

A. Zur Berechnung des Bedrohungswerts verwendet Predictive Prioritization derzeit über 150 einzelne Merkmale als Eingabewerte für das maschinelle Lernmodell. Ein Merkmal (bzw. ein Eingabewert) ist ein Attribut einer CVE, mit dem wir die CVE näher beschreiben oder besser verstehen können. Hier einige Beispiele:

  • Alter der Schwachstelle
  • Verfügbarkeit von Exploit-Kits
  • Diskussionen im Dark Web

Generell werden die Merkmale in der Regel in folgende Kategorien eingeteilt:

  • Frühere Bedrohungsmuster (z. B. Informationen über die Ausnutzung in der Vergangenheit: Wie lange her? Häufigkeit?)
  • Frühere Bedrohungsquellen (z. B. bestimmte Quellen, die eine Ausnutzung belegen)
  • Schwachstellenmetriken (CVSS-Metriken wie Zugriffsvektor, Angriffskomplexität, Basisbewertung usw.)
  • Schwachstellen-Metadaten (Alter der Schwachstelle, CVE, von der Schwachstelle betroffener Anbieter/betroffene Software usw.)
  • Verfügbarkeit von Exploits, ermittelt mithilfe von Threat-Intelligence-Daten (ist die Schwachstelle in Exploit-Database und/oder Metasploit gelistet?)

 Derzeit stammen diese Daten aus sieben Arten von Quellen:

  • Websites zur Informationssicherheit
  • Blogs
  • Veröffentlichungen von Schwachstellen
  • Social Media
  • Foren
  • Dark Web
  • Schwachstellenlandschaft

Weitere Ressourcen zum Thema Predictive Prioritization

Wir haben diese FAQ anhand der am häufigsten gestellten Fragen unserer Kunden zu Predictive Prioritization zusammengestellt und werden diesen Beitrag bei Bedarf aktualisieren. Eine PDF-Version dieser FAQ können Sie hier herunterladen.

Weitere Ressourcen, die für Sie hilfreich sein können:

Abonnieren Sie den Tenable Blog

Abonnieren
Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

60 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

$2,275.00

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

60 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

$3,578.00

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Integration mit Systemen für die kontinuierliche Integration und Bereitstellung (CI/CD) zur Unterstützung von DevOps-Praktiken, Stärkung der Sicherheit und Unterstützung der Einhaltung von Unternehmensrichtlinien.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.