Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren
  • Twitter
  • Facebook
  • LinkedIn

Quantifizierung des Zeitvorteils von Angreifern

Quantifizierung des Zeitvorteils von Angreifern

Tenable Research hat kürzlich einen Bericht veröffentlicht über den Zeitunterschied zwischen dem Zeitpunkt, zu dem ein Exploit für eine bestimmte Schwachstelle öffentlich verfügbar ist, und dem Zeitpunkt der ersten Bewertung dieser Schwachstelle.

Für diese Studie haben wir die am weitesten verbreiteten Schwachstellen mit kritischem und hohem Schweregrad aus nahezu 200.000 Schwachstellen-Scans, die über einen dreimonatigen Zeitraum Ende 2017 durchgeführt wurden, analysiert. Wir nutzten diese Schwachstellen, um daraus die „Zeit bis zur öffentlichen Verfügbarkeit eines Exploits“ und die „Zeit bis zur ersten Bewertung“ für die Berechnung des Differenz-Medians abzuleiten.

Die Differenz beschreibt den ersten strategischen Schritt, den sowohl der Verteidiger als auch der Angreifer in diesem Wettlauf machen können.Dieser Wert repräsentiert zwar nicht die vollständige OODA-Schleife (Observe, Orient, Decide, Act – Beobachten, Orientieren, Entscheiden, Handeln) für beide Seiten, zeigt jedoch, wer den besseren Start hat – und wer am Ende gewinnen wird.

Eine negative Differenz bedeutet, dass Angreifer ein gewisses Zeitfenster zur Ausnutzung einer Schwachstelle haben, bevor sich Verteidiger der Gefahr überhaupt bewusst werden.

Angreifer liegen weit in Führung

Aus unserer Analyse geht hervor, dass der Differenz-Median -7,3 Tage betrug. Der Medianwert der Zeit bis zur öffentlichen Verfügbarkeit eines Exploits betrug 5,5 Tage, der Medianwert der Zeit bis zur ersten Bewertung 12,8 Tage. Damit haben die Angreifer durchschnittlich sieben Tage Vorsprung vor den Verteidigern.

Die Differenz war für 76 Prozent der analysierten Schwachstellen negativ. Bei der Mehrzahl der Schwachstellen nutzen Angreifer ihren Zeitvorteil aus.

Statistische Quantifizierung des Zeitvorteils von Angreifern

Wenn der Differenzwert positiv war, lag dies in der Regel daran, dass es so lange dauerte, bis ein Exploit verfügbar war – und nicht an der Häufigkeit der Schwachstellen-Scans durch die Verteidiger. Die Tatsache, dass bei 34 Prozent der analysierten Schwachstellen ein Exploit bereits an dem Tag zur Verfügung stand, an dem die Schwachstelle aufgedeckt wurde, ist ernüchternd. Wirklich interessant wird es, wenn wir die einzelnen Schwachstellen aufschlüsseln.

24 Prozent der von uns analysierten 50 gängigsten Schwachstellen werden aktiv von Malware, Ransomware oder Exploit-Kits ausgenutzt. Weitere 14 Prozent waren kritisch genug, um in den Medien diskutiert zu werden. Die Stichprobe enthielt Schwachstellen, die von den Exploit-Kits Disdain und Terror, den Ransomware-Arten Cerber und StorageCrypt und sogar APT-Gruppen wie Black Oasis (zur Installation der Überwachungssoftware FinSpy) angegriffen wurden.

Zurückerobern des Vorteils

Die meisten Sicherheitsexperten haben das Gefühl, einen großen Vorsprung aufholen zu müssen. Wenn man diesen jedoch quantifiziert, lässt sich leichter feststellen, wie weit man zurückliegt und welche Maßnahmen notwendig sind, um die Lücke zu schließen.

Viele Unternehmen führen Schwachstellenanalysen in einem monatlichen oder sogar nur vierteljährlichen Zyklus durch. Zumeist wird dies durch interne Faktoren wie etwa die monatlichen Patch-Zyklen des Unternehmens bestimmt und nicht durch externe Faktoren. Wir neigen dazu, zu vergessen, dass wir einen Gegner haben, der die Spielregeln bestimmt. Auch wenn wir keine Kontrolle darüber haben, wann der Angreifer tätig wird, so haben wir doch die Kontrolle über unsere eigene Umgebung.

Unsere eigene Analyse des Scanverhaltens zeigt, dass lediglich etwas mehr als 25 Prozent von Organisationen mindestens alle zwei Tage Schwachstellenbewertungen durchführen. Dieses ist ein erreichbares Ziel und der Vorsprung der Angreifer kann dadurch bei den meisten Schwachstellen verringert werden.Da mit dem Prozess jedoch eine inhärente Latenz einhergeht, bleibt ein Restrisiko, das nicht allein durch häufigere Scans behoben werden kann.

Ein effektiverer Ansatz für Schwachstellen- und Cyber-Exposure-Management basiert nicht auf einem Start-Stopp-Modell oder separaten Zyklen. Stattdessen muss er sich auf Folgendes stützen:

  • Kontinuierliche Bewertung der Sicherheitslage
  • Proaktiver Umgang mit vorhersehbaren Risiken
  • Schnelle Reaktion auf unvorhergesehene und sich abzeichnende Risiken

Die Bedrohungslandschaft entwickelt sich in einem noch nie dagewesenen Tempo weiter und deckt eine stetig wachsende Angriffsoberfläche ab. Daher wird ein agilerer Prozess benötigt, der als Feedbackschleife fungiert. Die aufkommende Disziplin von SecDevOps stellt bereits einige bewährte Best Practices bereit. Dies erfordert jedoch auch, dass Sicherheitsteams und operative Teams in eine Linie gebracht werden und enger zusammenarbeiten.

Ein nicht zu unterschätzender Aspekt der Schwachstellenanalyse besteht darin, dass sie Informationen und Situationsbewusstsein zur Cyber Exposure vermittelt und das „Feedback“ in der Schleife bereitstellt. Selbst wenn es nicht möglich ist, jede Schwachstelle auf einmal zu beheben, kann eine kontinuierliche Bewertung Ad-hoc-Behebungsmaßnahmen in Krisensituationen bewirken oder ermitteln, dass risikomindernde Kontrollen wie z. B. Zugangssteuerung eingerichtet werden müssen, um die Verzögerung bei der Problembehebung und die daraus resultierende Gefährdungslücke zu überbrücken.

Verkürzung der Zeit bis zur Bewertung von Schwachstellen

Empfehlungen, wie Sie die Zeit bis zur Bewertung von Schwachstellen verkürzen können, sowie detaillierte Erkenntnisse aus unserer Analyse erhalten Sie im Bericht „Quantifizierung des Zeitvorteils von Angreifern“, den Sie hier herunterladen können.

Kostenlosen Bericht herunterladen

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

30 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen
Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community. Vollständige Details finden Sie hier.

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

30 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

30 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.

Kostenlos testen Vertrieb kontaktieren

Tenable Lumin testen

30 TAGE KOSTENLOS

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Demo von Tenable.ot anfordern

Passgenauer Schutz Ihrer operativen Technologien –
durch effektive Risikoreduzierung.