Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Fragen zu Predictive Prioritization? Hier finden Sie 16 Antworten

Zu Beginn dieses Jahres stellte Tenable Predictive Prioritization vor, ein bahnbrechendes, datenwissenschaftlich gestütztes Verfahren, bei dem die einzelnen Schwachstellen nach der Wahrscheinlichkeit, dass sie für einen Angriff ausgenutzt werden, neu priorisiert werden. Im Folgendes beantworten wir Ihre 16 dringendsten Fragen dazu, was diese neue Funktionalität für Ihr Schwachstellen-Management bedeutet.

2018 wurden 16.500 neue Schwachstellen aufgedeckt, von denen die meisten in CVSS als „Hoch“ oder „Kritisch“ eingestuft wurden. Wie können Sie angesichts der Zunahme von Schwachstellen die größten Bedrohungen für Ihr Unternehmen ermitteln – und wissen, was zuerst behoben werden muss? Predictive Prioritization ist ein innovatives Verfahren, das Unternehmen einen völlig neuen Ansatz zur Eindämmung der Schwachstellenflut bietet – damit Sie sich auf die Behebung der Schwachstellen konzentrieren können, auf die es wirklich ankommt. Sie wüssten gern, wie funktioniert Predictive Prioritization funktioniert? Die Antwort auf diese und andere gängige Fragen erhalten Sie in den FAQ zu Predictive Prioritization.

F. Was ist Predictive Prioritization?

A. Predictive Prioritization ist ein Verfahren, bei dem Schwachstellen nach der Wahrscheinlichkeit priorisiert werden, dass sie für einen Angriff ausgenutzt werden.

F. Was ist der Unterschied zwischen Predictive Prioritization und einem Vulnerability Priority Rating (VPR)?

A. Das Ergebnis des Predictive Prioritization-Verfahrens ist der VPR-Wert (Vulnerability Priority Rating). Er gibt die Priorität für die Behebung einer bestimmten Schwachstelle an. Der VPR-Wert verwendet eine Skala von 0 bis 10, wobei 10 dem höchsten Schweregrad entspricht. Mehr über VPR erfahren Sie im Video unten.

F. Wozu benötige ich einen VPR-Wert? Werden Schwachstellen nicht schon durch CVSS priorisiert?

A. CVSS ist gut dafür geeignet, den Wirkungsbereich und die Auswirkungen von Schwachstellen zu bestimmen. Am CVSS-Wert lässt sich ablesen, was passieren könnte, wenn eine bestimmte Schwachstelle ausgenutzt wird. Außerdem liefert CVSS eine Grundlage zur Einschätzung der Wahrscheinlichkeit, dass eine Schwachstelle angegriffen wird. In der aktuellen Version ist es jedoch nicht detailliert genug für eine effektive Priorisierung. Etwa 60 % aller CVEs werden nach CVSS mit einem Schweregrad von „Hoch“ oder „Kritisch“ eingestuft.

Predictive Prioritization orientiert sich ebenfalls am CVSS-Framework (siehe Abbildung unten), optimiert dieses jedoch, indem die CVSS-Komponenten zu Ausnutzbarkeit und Reifegrad des Exploit-Codes durch einen mithilfe von maschinellem Lernen ermittelten Bedrohungswert ersetzt werden, in den eine ganze Reihe von Datenquellen einfließen. Das bedeutet, dass Unternehmen ihre Behebungsstrategie auf die Schwachstellen konzentrieren können, bei denen:

  • eine Ausnutzung wahrscheinlich ist
  • im Falle einer Ausnutzung schwerwiegende Auswirkungen entstünden

Von CVSS zu Predictive Prioritization

F. Ersetzen VPR-Bewertungen die CVSS-Bewertungen?

A. Nein. Wir empfehlen, Ihre bestehenden Verfahren zur Priorisierung (z. B. CVSS) durch VPR zu ergänzen.

F. Wie lassen sich die Schweregradbereiche von VPR mit denjenigen bei CVSS vergleichen?

A. Die Bereiche werden bei CVSS und VPR anhand derselben Grenzwerte festgelegt. Allerdings sind die Schwachstellen aufgrund des Priorisierungsprozesses ganz anders auf die einzelnen Bereiche verteilt (siehe Abbildung unten).

F. Welche Schwachstellen erhalten einen VPR-Wert?

A. Derzeit generiert Predictive Prioritization einen VPR-Wert für alle Schwachstellen, die einen CVE-Eintrag in der U.S. National Vulnerability Database (NVD) haben. Wir planen, künftig noch weitere Schwachstellen durch Predictive Prioritization bewerten zu lassen.

F. Kann sich der VPR-Wert ändern?

A. Ja, Predictive Prioritization berechnet die VPR-Werte für jede CVE täglich neu. In Abhängigkeit von der Bedrohungslandschaft kann das Ergebnis anders ausfallen. In unserem technischen Whitepaper erfahren Sie mehr darüber.

F. Generiert Predictive Prioritization einen VPR-Wert für CVEs, die keine CVSS-Bewertung haben?

A. Ja. Wenn für eine CVE keine CVSS-Metriken/-Bewertungen veröffentlicht wurden, berechnet Predictive Prioritization den VPR-Wert anhand verfügbarer Informationen (z. B. Beschreibung der Schwachstelle), die in ein Modell eingespeist werden, das die Bewertung auf der Grundlage von im Text vorkommenden Begriffen prognostiziert.

Wenn die Beschreibung der Schwachstelle beispielsweise die Begriffe „Adobe“ und „arbitrary code execution“ (Ausführung von beliebigem Code) enthält, prognostiziert das Modell aufgrund früherer Aktivitäten bei Schwachstellen mit ähnlichen Merkmalen möglicherweise hohe CVSS-Werte. Sobald die eigentlichen CVSS-Bewertungen verfügbar sind, ersetzen sie unsere prognostizierten Werte. Predictive Prioritization ist hier von Vorteil, da es nach Bekanntwerden einer Schwachstelle in der Regel 45 Tage dauert, bis CVSS-Bewertungen in der NVD veröffentlicht werden.

F. Ich möchte VPR-Bewertungen besser verstehen. Was bedeutet die VPR-Bewertung „Kritisch“ (> 9) genau? Und was heißt die VPR-Bewertung „Niedrig“?

A. Ganz allgemein bedeutet die VPR-Bewertung „Kritisch“, dass die betreffende Schwachstelle mit hoher Wahrscheinlichkeit ausgenutzt wird und/oder eine erfolgreiche Ausnutzung dieser Schwachstelle erhebliche Auswirkungen hätte.

Schwachstellen, bei denen die Wahrscheinlichkeit einer Ausnutzung gering ist und/oder die Auswirkungen im Falle eines Angriffs gering wären, weist Predictive Prioritization hingegen die VPR-Bewertung „Niedrig“ zu. Allerdings gilt es stets zu bedenken, dass wir niemals mit hundertprozentiger Sicherheit ausschließen können, dass eine Schwachstelle ausgenutzt wird.

F. Laut Tenable hilft mir Predictive Prioritization, mich auf die 3 % zu konzentrieren, die wirklich wichtig sind. Welche 3 % sind damit gemeint?

A. Diese 3 % entsprechen den Schwachstellen mit der VPR-Bewertung „Hoch“ oder „Kritisch“. Es handelt sich also um die Schwachstellen, die bei der Behebung Priorität haben sollten. Wir empfehlen Ihnen, zunächst die Schwachstellen mit dem VPR-Wert „Hoch“ oder „Kritisch“ zu beheben und so die Liste von oben nach unten abzuarbeiten. Keinesfalls raten wir Ihnen, die übrigen 97 % der Schwachstellen zu ignorieren.

F. Inwiefern unterscheidet sich VPR vom temporalen CVSS-Wert (CVSS Temporal Score)?

A. Der Unterschied zwischen den beiden Werten besteht hauptsächlich darin, dass es sich bei VPR um eine zukunftsgerichtete Prognose handelt, während CVSS ausschließlich die Vergangenheit betrifft. VPR berücksichtigt nicht nur die Verfügbarkeit und Funktionalität von Exploit-Code, sondern prognostiziert außerdem, wie wahrscheinlich ein Angriff in nächster Zeit ist. Darüber hinaus wertet VPR die Informationen zur Ausnutzung von Schwachstellen detailgenauer aus.

F. „Predictive“ klingt interessant, aber was bringt es mir?

A. Anstatt Schwachstellen ausschließlich anhand historischer Daten zu bewerten, werden diese Daten in Verbindung mit einem prädiktiven Algorithmus für maschinelles Lernen eingesetzt. Dies hilft uns, wahrscheinliche Ereignisse zu antizipieren und entsprechende Vorkehrungen zu treffen (anstatt uns mit Vergangenem zu befassen). Für das Risikomanagement ist es wichtig, über vergangene Ereignisse Bescheid zu wissen. Wesentlich wichtiger ist jedoch zu wissen, was voraussichtlich in der Zukunft geschehen wird.

F. Gibt es einen Unterschied zwischen Ausnutzbarkeit und Ausnutzung?

A. Ja. Ausnutzbarkeit bedeutet einfach, dass ein Exploit verfügbar ist. Das könnte auch nur irgendein windiges Proof-of-Concept sein, das in einem öffentlichen Archiv gepostet wurde. Eine ausgenutzte Schwachstelle dagegen ist eine ernste Angelegenheit – es bedeutet, dass eine Schwachstelle erfolgreich durch ein Exploit angegriffen wurde.

F. Was, wenn eine Schwachstelle bereits ausgenutzt wurde?

A. Auch wenn eine Schwachstelle in der Vergangenheit bereits ausgenutzt wurde, kann sich die Wahrscheinlichkeit, dass sie in der Zukunft aktiv ausgenutzt wird (also für einen Cyberangriff verwendet wird), im Laufe der Zeit ändern.

F. Wird der gesamte Verlauf jeder einzelnen Schwachstelle analysiert?

A. Wir analysieren alle Informationen, die seit Veröffentlichung der Schwachstelle verfügbar sind.

F. Welche Daten werden im maschinellen Lernmodell für den Bedrohungswert berücksichtigt?

A. Zur Berechnung des Bedrohungswerts verwendet Predictive Prioritization derzeit über 150 einzelne Merkmale als Eingabewerte für das maschinelle Lernmodell. Ein Merkmal (bzw. ein Eingabewert) ist ein Attribut einer CVE, mit dem wir die CVE näher beschreiben oder besser verstehen können. Hier einige Beispiele:

  • Alter der Schwachstelle
  • Verfügbarkeit von Exploit-Kits
  • Diskussionen im Dark Web

Generell werden die Merkmale in der Regel in folgende Kategorien eingeteilt:

  • Frühere Bedrohungsmuster (z. B. Informationen über die Ausnutzung in der Vergangenheit: Wie lange her? Häufigkeit?)
  • Frühere Bedrohungsquellen (z. B. bestimmte Quellen, die eine Ausnutzung belegen)
  • Schwachstellenmetriken (CVSS-Metriken wie Zugriffsvektor, Angriffskomplexität, Basisbewertung usw.)
  • Schwachstellen-Metadaten (Alter der Schwachstelle, CVE, von der Schwachstelle betroffener Anbieter/betroffene Software usw.)
  • Verfügbarkeit von Exploits, ermittelt mithilfe von Threat-Intelligence-Daten (ist die Schwachstelle in Exploit-Database und/oder Metasploit gelistet?)

 Derzeit stammen diese Daten aus sieben Arten von Quellen:

  • Websites zur Informationssicherheit
  • Blogs
  • Veröffentlichungen von Schwachstellen
  • Social Media
  • Foren
  • Dark Web
  • Schwachstellenlandschaft

Weitere Ressourcen zum Thema Predictive Prioritization

Wir haben diese FAQ anhand der am häufigsten gestellten Fragen unserer Kunden zu Predictive Prioritization zusammengestellt und werden diesen Beitrag bei Bedarf aktualisieren. Eine PDF-Version dieser FAQ können Sie hier herunterladen.

Weitere Ressourcen, die für Sie hilfreich sein können:

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Testversion von Tenable.cs Cloud Security umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen