Fragen zu Predictive Prioritization? Hier finden Sie 16 Antworten

Zu Beginn dieses Jahres stellte Tenable Predictive Prioritization vor, ein bahnbrechendes, datenwissenschaftlich gestütztes Verfahren, bei dem die einzelnen Schwachstellen nach der Wahrscheinlichkeit, dass sie für einen Angriff ausgenutzt werden, neu priorisiert werden. Im Folgendes beantworten wir Ihre 16 dringendsten Fragen dazu, was diese neue Funktionalität für Ihr Schwachstellen-Management bedeutet.

2018 wurden 16.500 neue Schwachstellen aufgedeckt, von denen die meisten in CVSS als „Hoch“ oder „Kritisch“ eingestuft wurden. Wie können Sie angesichts der Zunahme von Schwachstellen die größten Bedrohungen für Ihr Unternehmen ermitteln – und wissen, was zuerst behoben werden muss? Predictive Prioritization ist ein innovatives Verfahren, das Unternehmen einen völlig neuen Ansatz zur Eindämmung der Schwachstellenflut bietet – damit Sie sich auf die Behebung der Schwachstellen konzentrieren können, auf die es wirklich ankommt. Sie wüssten gern, wie funktioniert Predictive Prioritization funktioniert? Erhalten Sie Antworten auf diese und andere häufige Fragen. 

F. Was ist Predictive Prioritization?

A. Predictive Prioritization ist ein Verfahren, bei dem Schwachstellen nach der Wahrscheinlichkeit priorisiert werden, dass sie für einen Angriff ausgenutzt werden.

F. Was ist der Unterschied zwischen Predictive Prioritization und einem Vulnerability Priority Rating (VPR)?

A. Das Ergebnis des Predictive Prioritization-Verfahrens ist der VPR-Wert (Vulnerability Priority Rating). Er gibt die Priorität für die Behebung einer bestimmten Schwachstelle an. Der VPR-Wert verwendet eine Skala von 0 bis 10, wobei 10 dem höchsten Schweregrad entspricht. Mehr über VPR erfahren Sie im Video unten.

F. Wozu benötige ich einen VPR-Wert? Werden Schwachstellen nicht schon durch CVSS priorisiert?

A. CVSS ist gut dafür geeignet, den Wirkungsbereich und die Auswirkungen von Schwachstellen zu bestimmen. Am CVSS-Wert lässt sich ablesen, was passieren könnte, wenn eine bestimmte Schwachstelle ausgenutzt wird. Außerdem liefert CVSS eine Grundlage zur Einschätzung der Wahrscheinlichkeit, dass eine Schwachstelle angegriffen wird. In der aktuellen Version ist es jedoch nicht detailliert genug für eine effektive Priorisierung. Etwa 60 % aller CVEs werden nach CVSS mit einem Schweregrad von „Hoch“ oder „Kritisch“ eingestuft.

Predictive Prioritization orientiert sich ebenfalls am CVSS-Framework (siehe Abbildung unten), optimiert dieses jedoch, indem die CVSS-Komponenten zu Ausnutzbarkeit und Reifegrad des Exploit-Codes durch einen mithilfe von maschinellem Lernen ermittelten Bedrohungswert ersetzt werden, in den eine ganze Reihe von Datenquellen einfließen. Das bedeutet, dass Unternehmen ihre Behebungsstrategie auf die Schwachstellen konzentrieren können, bei denen:

• eine Ausnutzung wahrscheinlich ist
• im Falle einer Ausnutzung schwerwiegende Auswirkungen entstünden

F. Ersetzen VPR-Bewertungen die CVSS-Bewertungen?

A. Nein. Wir empfehlen, Ihre bestehenden Verfahren zur Priorisierung (z. B. CVSS) durch VPR zu ergänzen.

F. Wie lassen sich die Schweregradbereiche von VPR mit denjenigen bei CVSS vergleichen?

A. Die Bereiche werden bei CVSS und VPR anhand derselben Grenzwerte festgelegt. Allerdings sind die Schwachstellen aufgrund des Priorisierungsprozesses ganz anders auf die einzelnen Bereiche verteilt (siehe Abbildung unten).

F. Welche Schwachstellen erhalten einen VPR-Wert?

A. Derzeit generiert Predictive Prioritization einen VPR-Wert für alle Schwachstellen, die einen CVE-Eintrag in der U.S. National Vulnerability Database (NVD) haben. Wir planen, künftig noch weitere Schwachstellen durch Predictive Prioritization bewerten zu lassen.

F. Kann sich der VPR-Wert ändern?

A. Ja, Predictive Prioritization berechnet die VPR-Werte für jede CVE täglich neu. In Abhängigkeit von der Bedrohungslandschaft kann das Ergebnis anders ausfallen.

F. Generiert Predictive Prioritization einen VPR-Wert für CVEs, die keine CVSS-Bewertung haben?

A. Ja. Wenn für eine CVE keine CVSS-Metriken/-Bewertungen veröffentlicht wurden, berechnet Predictive Prioritization den VPR-Wert anhand verfügbarer Informationen (z. B. Beschreibung der Schwachstelle), die in ein Modell eingespeist werden, das die Bewertung auf der Grundlage von im Text vorkommenden Begriffen prognostiziert.

Wenn die Beschreibung der Schwachstelle beispielsweise die Begriffe „Adobe“ und „arbitrary code execution“ (Ausführung von beliebigem Code) enthält, prognostiziert das Modell aufgrund früherer Aktivitäten bei Schwachstellen mit ähnlichen Merkmalen möglicherweise hohe CVSS-Werte. Sobald die eigentlichen CVSS-Bewertungen verfügbar sind, ersetzen sie unsere prognostizierten Werte. Predictive Prioritization ist hier von Vorteil, da es nach Bekanntwerden einer Schwachstelle in der Regel 45 Tage dauert, bis CVSS-Bewertungen in der NVD veröffentlicht werden.

F. Ich möchte VPR-Bewertungen besser verstehen. Was bedeutet die VPR-Bewertung „Kritisch“ (> 9) genau? Und was heißt die VPR-Bewertung „Niedrig“?

A. Ganz allgemein bedeutet die VPR-Bewertung „Kritisch“, dass die betreffende Schwachstelle mit hoher Wahrscheinlichkeit ausgenutzt wird und/oder eine erfolgreiche Ausnutzung dieser Schwachstelle erhebliche Auswirkungen hätte.

Schwachstellen, bei denen die Wahrscheinlichkeit einer Ausnutzung gering ist und/oder die Auswirkungen im Falle eines Angriffs gering wären, weist Predictive Prioritization hingegen die VPR-Bewertung „Niedrig“ zu. Allerdings gilt es stets zu bedenken, dass wir niemals mit hundertprozentiger Sicherheit ausschließen können, dass eine Schwachstelle ausgenutzt wird.

F. Laut Tenable hilft mir Predictive Prioritization, mich auf die 3 % zu konzentrieren, die wirklich wichtig sind. Welche 3 % sind damit gemeint?

A. Diese 3 % entsprechen den Schwachstellen mit der VPR-Bewertung „Hoch“ oder „Kritisch“. Es handelt sich also um die Schwachstellen, die bei der Behebung Priorität haben sollten. Wir empfehlen Ihnen, zunächst die Schwachstellen mit dem VPR-Wert „Hoch“ oder „Kritisch“ zu beheben und so die Liste von oben nach unten abzuarbeiten. Keinesfalls raten wir Ihnen, die übrigen 97 % der Schwachstellen zu ignorieren.

F. Inwiefern unterscheidet sich VPR vom temporalen CVSS-Wert (CVSS Temporal Score)?

A. Der Unterschied zwischen den beiden Werten besteht hauptsächlich darin, dass es sich bei VPR um eine zukunftsgerichtete Prognose handelt, während CVSS ausschließlich die Vergangenheit betrifft. VPR berücksichtigt nicht nur die Verfügbarkeit und Funktionalität von Exploit-Code, sondern prognostiziert außerdem, wie wahrscheinlich ein Angriff in nächster Zeit ist. Darüber hinaus wertet VPR die Informationen zur Ausnutzung von Schwachstellen detailgenauer aus.

F. „Predictive“ klingt interessant, aber was bringt es mir?

A. Anstatt Schwachstellen ausschließlich anhand historischer Daten zu bewerten, werden diese Daten in Verbindung mit einem prädiktiven Algorithmus für maschinelles Lernen eingesetzt. Dies hilft uns, wahrscheinliche Ereignisse zu antizipieren und entsprechende Vorkehrungen zu treffen (anstatt uns mit Vergangenem zu befassen). Für das Risikomanagement ist es wichtig, über vergangene Ereignisse Bescheid zu wissen. Wesentlich wichtiger ist jedoch zu wissen, was voraussichtlich in der Zukunft geschehen wird.

F. Gibt es einen Unterschied zwischen Ausnutzbarkeit und Ausnutzung?

A. Ja. Ausnutzbarkeit bedeutet einfach, dass ein Exploit verfügbar ist. Das könnte auch nur irgendein windiges Proof-of-Concept sein, das in einem öffentlichen Archiv gepostet wurde. Eine ausgenutzte Schwachstelle dagegen ist eine ernste Angelegenheit – es bedeutet, dass eine Schwachstelle erfolgreich durch ein Exploit angegriffen wurde.

F. Was, wenn eine Schwachstelle bereits ausgenutzt wurde?

A. Auch wenn eine Schwachstelle in der Vergangenheit bereits ausgenutzt wurde, kann sich die Wahrscheinlichkeit, dass sie in der Zukunft aktiv ausgenutzt wird (also für einen Cyberangriff verwendet wird), im Laufe der Zeit ändern.

F. Wird der gesamte Verlauf jeder einzelnen Schwachstelle analysiert?

A. Wir analysieren alle Informationen, die seit Veröffentlichung der Schwachstelle verfügbar sind.

F. Welche Daten werden im maschinellen Lernmodell für den Bedrohungswert berücksichtigt?

A. Zur Berechnung des Bedrohungswerts verwendet Predictive Prioritization derzeit über 150 einzelne Merkmale als Eingabewerte für das maschinelle Lernmodell. Ein Merkmal (bzw. ein Eingabewert) ist ein Attribut einer CVE, mit dem wir die CVE näher beschreiben oder besser verstehen können. Hier einige Beispiele:

• Alter der Schwachstelle
• Verfügbarkeit von Exploit-Kits
• Diskussionen im Dark Web

Generell werden die Merkmale in der Regel in folgende Kategorien eingeteilt:

• Frühere Bedrohungsmuster (z. B. Informationen über die Ausnutzung in der Vergangenheit: Wie lange her? Häufigkeit?)
• Frühere Bedrohungsquellen (z. B. bestimmte Quellen, die eine Ausnutzung belegen)
• Schwachstellenmetriken (CVSS-Metriken wie Zugriffsvektor, Angriffskomplexität, Basisbewertung usw.)
• Schwachstellen-Metadaten (Alter der Schwachstelle, CVE, von der Schwachstelle betroffener Anbieter/betroffene Software usw.)
• Verfügbarkeit von Exploits, ermittelt mithilfe von Threat-Intelligence-Daten (ist die Schwachstelle in Exploit-Database und/oder Metasploit gelistet?)

 Derzeit stammen diese Daten aus sieben Arten von Quellen:

• Websites zur Informationssicherheit
• Blogs
• Veröffentlichungen von Schwachstellen
• Social Media
• Foren
• Dark Web
• Schwachstellenlandschaft

Weitere Ressourcen zum Thema Predictive Prioritization

Wir haben diese FAQ anhand der am häufigsten gestellten Fragen unserer Kunden zu Predictive Prioritization zusammengestellt und werden diesen Beitrag bei Bedarf aktualisieren.

Weitere Ressourcen, die für Sie hilfreich sein können:

• Sehen Sie sich das On-Demand-Webinar „To Reduce Your Cyber Exposure, Find and Fix First the 3% of Vulnerabilities that Matter Most“ an
• Erkunden Sie die Webseite für Predictive Prioritization