Quantifizierung des Zeitvorteils von Angreifern
Tenable Research hat kürzlich einen Bericht veröffentlicht über den Zeitunterschied zwischen dem Zeitpunkt, zu dem ein Exploit für eine bestimmte Schwachstelle öffentlich verfügbar ist, und dem Zeitpunkt der ersten Bewertung dieser Schwachstelle.
Für diese Studie haben wir die am weitesten verbreiteten Schwachstellen mit kritischem und hohem Schweregrad aus nahezu 200.000 Schwachstellen-Scans, die über einen dreimonatigen Zeitraum Ende 2017 durchgeführt wurden, analysiert. Wir nutzten diese Schwachstellen, um daraus die „Zeit bis zur öffentlichen Verfügbarkeit eines Exploits“ und die „Zeit bis zur ersten Bewertung“ für die Berechnung des Differenz-Medians abzuleiten.
Die Differenz beschreibt den ersten strategischen Schritt, den sowohl der Verteidiger als auch der Angreifer in diesem Wettlauf machen können.Dieser Wert repräsentiert zwar nicht die vollständige OODA-Schleife (Observe, Orient, Decide, Act – Beobachten, Orientieren, Entscheiden, Handeln) für beide Seiten, zeigt jedoch, wer den besseren Start hat – und wer am Ende gewinnen wird.
Eine negative Differenz bedeutet, dass Angreifer ein gewisses Zeitfenster zur Ausnutzung einer Schwachstelle haben, bevor sich Verteidiger der Gefahr überhaupt bewusst werden.
Angreifer liegen weit in Führung
Aus unserer Analyse geht hervor, dass der Differenz-Median -7,3 Tage betrug. Der Medianwert der Zeit bis zur öffentlichen Verfügbarkeit eines Exploits betrug 5,5 Tage, der Medianwert der Zeit bis zur ersten Bewertung 12,8 Tage. Damit haben die Angreifer durchschnittlich sieben Tage Vorsprung vor den Verteidigern.
Die Differenz war für 76 Prozent der analysierten Schwachstellen negativ. Bei der Mehrzahl der Schwachstellen nutzen Angreifer ihren Zeitvorteil aus.
Wenn der Differenzwert positiv war, lag dies in der Regel daran, dass es so lange dauerte, bis ein Exploit verfügbar war – und nicht an der Häufigkeit der Schwachstellen-Scans durch die Verteidiger. Die Tatsache, dass bei 34 Prozent der analysierten Schwachstellen ein Exploit bereits an dem Tag zur Verfügung stand, an dem die Schwachstelle aufgedeckt wurde, ist ernüchternd. Wirklich interessant wird es, wenn wir die einzelnen Schwachstellen aufschlüsseln.
24 Prozent der von uns analysierten 50 gängigsten Schwachstellen werden aktiv von Malware, Ransomware oder Exploit-Kits ausgenutzt. Weitere 14 Prozent waren kritisch genug, um in den Medien diskutiert zu werden. Die Stichprobe enthielt Schwachstellen, die von den Exploit-Kits Disdain und Terror, den Ransomware-Arten Cerber und StorageCrypt und sogar APT-Gruppen wie Black Oasis (zur Installation der Überwachungssoftware FinSpy) angegriffen wurden.
Zurückerobern des Vorteils
Die meisten Sicherheitsexperten haben das Gefühl, einen großen Vorsprung aufholen zu müssen. Wenn man diesen jedoch quantifiziert, lässt sich leichter feststellen, wie weit man zurückliegt und welche Maßnahmen notwendig sind, um die Lücke zu schließen.
Viele Unternehmen führen Schwachstellenanalysen in einem monatlichen oder sogar nur vierteljährlichen Zyklus durch. Zumeist wird dies durch interne Faktoren wie etwa die monatlichen Patch-Zyklen des Unternehmens bestimmt und nicht durch externe Faktoren. Wir neigen dazu, zu vergessen, dass wir einen Gegner haben, der die Spielregeln bestimmt. Auch wenn wir keine Kontrolle darüber haben, wann der Angreifer tätig wird, so haben wir doch die Kontrolle über unsere eigene Umgebung.
Unsere eigene Analyse des Scanverhaltens zeigt, dass lediglich etwas mehr als 25 Prozent von Organisationen mindestens alle zwei Tage Schwachstellenbewertungen durchführen. Dieses ist ein erreichbares Ziel und der Vorsprung der Angreifer kann dadurch bei den meisten Schwachstellen verringert werden.Da mit dem Prozess jedoch eine inhärente Latenz einhergeht, bleibt ein Restrisiko, das nicht allein durch häufigere Scans behoben werden kann.
Ein effektiverer Ansatz für Schwachstellen- und Cyber-Exposure-Management basiert nicht auf einem Start-Stopp-Modell oder separaten Zyklen. Stattdessen muss er sich auf Folgendes stützen:
- Kontinuierliche Bewertung der Sicherheitslage
- Proaktiver Umgang mit vorhersehbaren Risiken
- Schnelle Reaktion auf unvorhergesehene und sich abzeichnende Risiken
Die Bedrohungslandschaft entwickelt sich in einem noch nie dagewesenen Tempo weiter und deckt eine stetig wachsende Angriffsoberfläche ab. Daher wird ein agilerer Prozess benötigt, der als Feedbackschleife fungiert. Die aufkommende Disziplin von SecDevOps stellt bereits einige bewährte Best Practices bereit. Dies erfordert jedoch auch, dass Sicherheitsteams und operative Teams in eine Linie gebracht werden und enger zusammenarbeiten.
Ein nicht zu unterschätzender Aspekt der Schwachstellenanalyse besteht darin, dass sie Informationen und Situationsbewusstsein zur Cyber Exposure vermittelt und das „Feedback“ in der Schleife bereitstellt. Selbst wenn es nicht möglich ist, jede Schwachstelle auf einmal zu beheben, kann eine kontinuierliche Bewertung Ad-hoc-Behebungsmaßnahmen in Krisensituationen bewirken oder ermitteln, dass risikomindernde Kontrollen wie z. B. Zugangssteuerung eingerichtet werden müssen, um die Verzögerung bei der Problembehebung und die daraus resultierende Gefährdungslücke zu überbrücken.
Verkürzung der Zeit bis zur Bewertung von Schwachstellen
Empfehlungen, wie Sie die Zeit bis zur Bewertung von Schwachstellen verkürzen können, sowie detaillierte Erkenntnisse aus unserer Analyse erhalten Sie im Bericht „Quantifizierung des Zeitvorteils von Angreifern“, den Sie hier herunterladen können.
Verwandte Artikel
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
How the regreSSHion Vulnerability Could Impact Your Cloud Environment
July 5, 2024With growing concern over the recently disclosed regreSSHion vulnerability, we’re explaining here what it is, why it’s so significant, what it could mean for your cloud environment and how Tenable Cloud Security can help.
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning