Ein zweischneidiges Schwert: Medienberichterstattung als Priorisierungsmetrik für Schwachstellen-Management
Wir wollten wissen, ob die Berichterstattung über Schwachstellen in Massenmedien einen Einfluss darauf hat, wie Unternehmen beim Schwachstellen-Management vorgehen. Also haben wir sie dazu befragt. Die Ergebnisse werden im Anschluss vorgestellt.
In Fachkreisen ist man seit je her an neuen Schwachstellen interessiert. Doch immer häufiger wird auch in den Mainstream-Medien über Schwachstellen berichtet. Sie werden regelmäßig in Wirtschaftspublikationen thematisiert, die von Führungskräften gelesen werden, die sich normalerweise nicht mit den Details des Schwachstellen-Managements befassen.
2018 war für die Berichterstattung über Schwachstellen ein bedeutendes Jahr. Im Januar ging es direkt mit Meltdown und Spectre los und es schien, als rissen die Schlagzeilen gar nicht ab. Angesichts dessen wollten wir wissen, ob und wie sich diese Berichterstattung auf das Schwachstellen-Management in Unternehmen ausgewirkt hat. Daher haben wir die Unternehmen dazu befragt. Im Rahmen von breit angelegten Interviews mit CISOs und Sicherheitsanalysten erkundigten wir uns in jedem Fall danach, welche Erfahrungen sie mit Medienberichterstattung über Schwachstellen gemacht hatten.
Wir fragten beispielsweise, ob sich die Berichterstattung auf ihre Arbeit ausgewirkt hat, und wenn ja, inwiefern.
Die meisten Befragten gaben an, dass ihre normale Tätigkeit in gewissem Umfang durch die Schwachstellenberichterstattung gestört worden war. Die beiden am häufigsten angeführten Beispiele waren die auf spekulativer Befehlsausführung basierenden Schwachstellen, Meltdown und Spectre, sowie Struts2. Der ausführliche Report, Schwachstellen in den Schlagzeilen: Wie Medienberichterstattung die Wahrnehmung von Risiken beinflusst, enthält Details zu Strategien, Taktiken und Herausforderungen, die während der Reaktion auf diese Vorfälle entstanden sind. Unsere wichtigsten Ergebnisse:
- Schwachstellen, die es in die Schlagzeilen schaffen, sind nicht nur für Sicherheitsteams ein Grund zur Besorgnis. Diese Schwachstellen können unabhängig davon, ob sie tatsächlich aus technischer Sicht kritisch sind, erhebliche Risiken für den Ruf des Unternehmens bedeuten und erfordern daher von Seiten des Unternehmens ein gutes Management der Beziehungen zu Kunden, Partnern, Regulierungsbehörden und anderen wichtigen Stakeholdern.
- Die mediale Berichterstattung ist keine objektive Messgröße dafür, wie kritisch eine Schwachstelle ist, insbesondere im Kontext eines konkreten Unternehmens. Die Rolle der Medien besteht darin, Sachverhalte zu recherchieren und darüber zu berichten und nicht in der Durchführung einer Risikoanalyse. Medien berichten über Schwachstellen, die interessant sind, aber nicht unbedingt kritisch.
- Dennoch wirkt sich die mediale Berichterstattung unter Umständen auf die ganzheitliche Bewertung von Risiken aus. Sicherheitsteams sind sich durchaus im Klaren darüber, dass das Medienecho kein idealer Indikator für das technische Risiko ist. Dennoch sie müssen ihr Verfahren zur Risikobewertung mit anderen besprechen. Die Teams müssen zudem akzeptieren, dass sie aufgrund eines allgemeinen Risikos auch dann bisweilen Maßnahmen ergreifen müssen, wenn der Schweregrad der Schwachstelle eigentlich nicht dafür spricht.
- Zur Funktion eines Sicherheitsteams gehört es, vermeintliche Risiken zu managen und wichtige Stakeholder zu beraten, insbesondere hochrangige Entscheidungsträger. Darüber hinaus kommt ihm die Aufgabe zu, angemessen auf die im jeweiligen Kontext zu berücksichtigenden Schwachstellen zu reagieren – unabhängig vom medialen Hype. CISOs müssen mit Schwachstellendaten im richtigen Kontext gewappnet sein, damit sie den Unternehmensverantwortlichen ein wahrheitsgetreues Bild der Cyber Exposure des Unternehmens vermitteln sowie Ressourcen angemessen aufwenden können, um die Risiken zu reduzieren.
Es gibt jedoch noch einen anderen Aspekt, der im Report nicht berücksichtigt wird, aber erwähnenswert ist: Es ist nicht nur die Berichterstattung in der Wirtschaftspresse, die das Schwachstellen-Management beeinflussen kann. Sicherheitsteams verfolgen Meldungen über Schwachstellen auf einem wesentlich breiteren Spektrum von Kanälen als ihre Geschäftsführung. Zwar nutzen sie diese mediale Berichterstattung nicht als einzige Quelle für Schwachstelleninformationen, doch sie kann (in Kombination mit anderen Faktoren) als Metrik für die Priorisierung herangezogen werden. Sehen wir uns diesen Aspekt der Medienlandschaft in Bezug auf Schwachstellen einmal genauer an.
Die Medienlandschaft in Bezug auf Schwachstellen
Im Bericht über Schwachstellen in den Schlagzeilen geht es zwar in erster Linie darum, wie Unternehmen auf Vorfälle mit einem großen Medienecho reagieren, also auf Ereignisse, über die in der New York Times oder im Fernsehen berichtet wird. Doch die Schwachstellen-Medienlandschaft deckt wesentlich mehr ab als nur diese Ereignisse. Der Erfolgsdruck ist natürlich dann am höchsten, wenn die Geschäftsleitung oder der Vorstand über eine Schwachstelle informiert ist. Doch Sicherheitsteams nutzen die Berichterstattung in den Medien oftmals als Metrik für den Schweregrad. Wenn in den Medien über eine Schwachstelle berichtet wird, steigt in der Regel ihre Priorität. Das gilt insbesondere, wenn tatsächliche Angriffe festgestellt werden. Ein Beispiel: Atlassian veröffentlichte am 20. März ein Advisory für Schwachstellen bei Confluence Server, einschließlich eines Fix für CVE-2019-3396. Doch erst als der Proof-of-Concept-Code (PoC) und die Ausnutzung dieser Schwachstelle öffentlich bekannt wurden, griffen die Medien den Vorfall auf. Mediale Berichterstattung katapultiert eine Schwachstelle zwar nicht unbedingt auf der Liste nach ganz oben, kann jedoch als zusätzlicher Faktor zur Priorisierung herangezogen werden.
Das Security Response Team (SRT) von Tenable verfolgt die Berichterstattung über Schwachstellen in den Nachrichten (und anderen Quellen) und konnte feststellen, dass seit Anfang 2019 über nahezu jede nennenswerte Schwachstelle in den Medien berichtet wurde. Für die Sicherheitsteams entsteht dadurch eine Menge Unruhe. Als Metrik ist Medienberichterstattung immer weniger nützlich, da sich die Medienlandschaft verändert.
In Zusammenhang mit den Veränderungen in der Medienlandschaft erklärte Ryan Seguin, Research Engineer im SRT: „Ich glaube, in den letzten fünf Jahren kamen in der Branche eine Reihe von Faktoren zusammen. Der erste große Einfluss auf die Schwachstellen-Berichterstattung war der Heartbleed-Bug 2014. An zweiter Stelle ist zu nennen, dass Twitter sich zur Standardkommunikationsmethode für Forscher entwickelt. Sicherlich war Heartbleed nicht die erste Schwachstelle mit einem einprägsamen Namen, doch nach meinem Eindruck löste die Veröffentlichung einen regelrechten Goldrausch in der Schwachstellenforschung aus. Seit 2014 haben Forscher zunehmend den Drang, derjenige zu sein, der als Nächstes die perfekte Schwachstelle entdeckt, die einer intensiven Berichterstattung und einer spektakulären Webseite würdig ist. Es geht nicht nur darum, den eigenen Namen bekannt zu machen und die eigene Glaubwürdigkeit zu stärken. Belohnungsprogramme für gefundene Bugs werden auch immer lukrativer und sind besser organisiert.“ Das derzeit häufige, Aufsehen erregende Auftauchen von Schwachstellen in den Medien ist auch dadurch bedingt, dass Forscher mittlerweile mit ihren Veröffentlichungen um Aufmerksamkeit buhlen.
Die im Report vorgestellten Schwachstellen und Strategien stehen im Einklang mit dem Thema „Interesse der Führungsetage“, das sich in den letzten Jahren im Bereich Cybersecurity anhaltender Beliebtheit erfreut hat: Wie schaffen Sicherheitsteams es, auf die gesteigerte Aufmerksamkeit seitens Geschäftsleitung und Vorstand nicht nur zu reagieren, sondern auch davon zu profitieren? Besonders im Jahr 2018 galt diese Aufmerksamkeit dem Schwachstellen-Management. Ganz gleich, ob der Auslöser dafür eine eine Meldung in der Wirtschaftspresse oder eine technischen Publikation wie Bleeping Computer ist, müssen Sicherheitsteams die durch Schwachstellen verursachten Risiken klar zur Sprache bringen können, und zwar so, dass die Verantwortlichen die besten Entscheidungen treffen können.
Ansehen: Expertenpanel diskutiert Report zu Schwachstellen in den Schlagzeilen auf der Edge 2019
Update, 4. Juni 2019: Wir erörterten die Ergebnisse des Reports im Rahmen einer Podiumsdiskussion auf der Tenable Edge 2019 User-Konferenz am 21. bis 23. Mai in Atlanta. Die Diskussion wurde moderiert von Paul Roberts, Publisher and Editor in Chief von The Security Ledger, und neben meiner Person nahmen diese Gäste teil: Kevin Kerr, CISO, Oak Ridge National Laboratory; Greg Kyrytschenko, Head of Security Services, Guardian; sowie Ramin Lamei, Senior Director, Information Security Officer, Global Payments. Sehen Sie sich unten die vollständige Sitzung an:
Mehr erfahren:
- Laden Sie den Report herunter: Schwachstellen in den Schlagzeilen: Wie Medienberichterstattung die Wahrnehmung von Risiken beeinflusst
- Nehmen Sie am Webinar teil: Tenable Research Explores Headline-Making Vulnerabilities: Does Publicity Skew Perception?, am 19. Juni um 14.00 Uhr (ET).
- Möchten Sie weitere Videos von der Edge 2019 sehen? Klicken Sie hier.
Verwandte Artikel
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning