Quantifizierung des Zeitvorteils von Angreifern

Tenable Research hat kürzlich einen Bericht veröffentlicht über den Zeitunterschied zwischen dem Zeitpunkt, zu dem ein Exploit für eine bestimmte Schwachstelle öffentlich verfügbar ist, und dem Zeitpunkt der ersten Bewertung dieser Schwachstelle.

Für diese Studie haben wir die am weitesten verbreiteten Schwachstellen mit kritischem und hohem Schweregrad aus nahezu 200.000 Schwachstellen-Scans, die über einen dreimonatigen Zeitraum Ende 2017 durchgeführt wurden, analysiert. Wir nutzten diese Schwachstellen, um daraus die „Zeit bis zur öffentlichen Verfügbarkeit eines Exploits“ und die „Zeit bis zur ersten Bewertung“ für die Berechnung des Differenz-Medians abzuleiten.

Die Differenz beschreibt den ersten strategischen Schritt, den sowohl der Verteidiger als auch der Angreifer in diesem Wettlauf machen können.Dieser Wert repräsentiert zwar nicht die vollständige OODA-Schleife (Observe, Orient, Decide, Act – Beobachten, Orientieren, Entscheiden, Handeln) für beide Seiten, zeigt jedoch, wer den besseren Start hat – und wer am Ende gewinnen wird.

Eine negative Differenz bedeutet, dass Angreifer ein gewisses Zeitfenster zur Ausnutzung einer Schwachstelle haben, bevor sich Verteidiger der Gefahr überhaupt bewusst werden.

Angreifer liegen weit in Führung

Aus unserer Analyse geht hervor, dass der Differenz-Median -7,3 Tage betrug. Der Medianwert der Zeit bis zur öffentlichen Verfügbarkeit eines Exploits betrug 5,5 Tage, der Medianwert der Zeit bis zur ersten Bewertung 12,8 Tage. Damit haben die Angreifer durchschnittlich sieben Tage Vorsprung vor den Verteidigern.

Die Differenz war für 76 Prozent der analysierten Schwachstellen negativ. Bei der Mehrzahl der Schwachstellen nutzen Angreifer ihren Zeitvorteil aus.

Wenn der Differenzwert positiv war, lag dies in der Regel daran, dass es so lange dauerte, bis ein Exploit verfügbar war – und nicht an der Häufigkeit der Schwachstellen-Scans durch die Verteidiger. Die Tatsache, dass bei 34 Prozent der analysierten Schwachstellen ein Exploit bereits an dem Tag zur Verfügung stand, an dem die Schwachstelle aufgedeckt wurde, ist ernüchternd. Wirklich interessant wird es, wenn wir die einzelnen Schwachstellen aufschlüsseln.

24 Prozent der von uns analysierten 50 gängigsten Schwachstellen werden aktiv von Malware, Ransomware oder Exploit-Kits ausgenutzt. Weitere 14 Prozent waren kritisch genug, um in den Medien diskutiert zu werden. Die Stichprobe enthielt Schwachstellen, die von den Exploit-Kits Disdain und Terror, den Ransomware-Arten Cerber und StorageCrypt und sogar APT-Gruppen wie Black Oasis (zur Installation der Überwachungssoftware FinSpy) angegriffen wurden.

Zurückerobern des Vorteils

Die meisten Sicherheitsexperten haben das Gefühl, einen großen Vorsprung aufholen zu müssen. Wenn man diesen jedoch quantifiziert, lässt sich leichter feststellen, wie weit man zurückliegt und welche Maßnahmen notwendig sind, um die Lücke zu schließen.

Viele Unternehmen führen Schwachstellenanalysen in einem monatlichen oder sogar nur vierteljährlichen Zyklus durch. Zumeist wird dies durch interne Faktoren wie etwa die monatlichen Patch-Zyklen des Unternehmens bestimmt und nicht durch externe Faktoren. Wir neigen dazu, zu vergessen, dass wir einen Gegner haben, der die Spielregeln bestimmt. Auch wenn wir keine Kontrolle darüber haben, wann der Angreifer tätig wird, so haben wir doch die Kontrolle über unsere eigene Umgebung.

Unsere eigene Analyse des Scanverhaltens zeigt, dass lediglich etwas mehr als 25 Prozent von Organisationen mindestens alle zwei Tage Schwachstellenbewertungen durchführen. Dieses ist ein erreichbares Ziel und der Vorsprung der Angreifer kann dadurch bei den meisten Schwachstellen verringert werden.Da mit dem Prozess jedoch eine inhärente Latenz einhergeht, bleibt ein Restrisiko, das nicht allein durch häufigere Scans behoben werden kann.

Ein effektiverer Ansatz für Schwachstellen- und Cyber-Exposure-Management basiert nicht auf einem Start-Stopp-Modell oder separaten Zyklen. Stattdessen muss er sich auf Folgendes stützen:

• Kontinuierliche Bewertung der Sicherheitslage
• Proaktiver Umgang mit vorhersehbaren Risiken
• Schnelle Reaktion auf unvorhergesehene und sich abzeichnende Risiken

Die Bedrohungslandschaft entwickelt sich in einem noch nie dagewesenen Tempo weiter und deckt eine stetig wachsende Angriffsoberfläche ab. Daher wird ein agilerer Prozess benötigt, der als Feedbackschleife fungiert. Die aufkommende Disziplin von SecDevOps stellt bereits einige bewährte Best Practices bereit. Dies erfordert jedoch auch, dass Sicherheitsteams und operative Teams in eine Linie gebracht werden und enger zusammenarbeiten.

Ein nicht zu unterschätzender Aspekt der Schwachstellenanalyse besteht darin, dass sie Informationen und Situationsbewusstsein zur Cyber Exposure vermittelt und das „Feedback“ in der Schleife bereitstellt. Selbst wenn es nicht möglich ist, jede Schwachstelle auf einmal zu beheben, kann eine kontinuierliche Bewertung Ad-hoc-Behebungsmaßnahmen in Krisensituationen bewirken oder ermitteln, dass risikomindernde Kontrollen wie z. B. Zugangssteuerung eingerichtet werden müssen, um die Verzögerung bei der Problembehebung und die daraus resultierende Gefährdungslücke zu überbrücken.

Verkürzung der Zeit bis zur Bewertung von Schwachstellen

Empfehlungen, wie Sie die Zeit bis zur Bewertung von Schwachstellen verkürzen können, sowie detaillierte Erkenntnisse aus unserer Analyse erhalten Sie im Bericht „Quantifizierung des Zeitvorteils von Angreifern“, den Sie hier herunterladen können.