Drei interessante Erkenntnisse zum Thema Schwachstellen
Der Vulnerability Intelligence Report, der heute von Tenable Research veröffentlicht wird, gibt Ihnen einen Überblick über aktuelle Trends bei der Aufdeckung von Schwachstellen und veranschaulicht diese anhand konkreter Daten aus der Welt der Wirtschaft. Im Folgenden möchten wir Ihnen drei wichtige Erkenntnisse aus dem Bericht vorstellen.
Bei Tenable Research dreht sich alles um Schwachstellen. Daher ist der Zustand des Schwachstellen-Ökosystems für uns von besonderem Interesse.
Um sich einen Überblick über die gesamte Bandbreite des Schwachstellen-Ökosystems zu verschaffen, müssen zunächst einmal die Entwicklungen und Trends bei der Untersuchung und Aufdeckung von Schwachstellen betrachtet werden. Dieser Aspekt wird bereits eingehend untersucht. Zahlreiche Anbieter und Branchenverbände äußern sich regelmäßig in der Liste der Common Vulnerabilities and Exposures (CVE) und in der National Vulnerability Database (NVD) zu den aktuellen Trends. Wenn wir über die Vielfalt, die Zunahme und Weiterentwicklung von Schwachstellen und gängigen Sicherheitslücken Bescheid wissen, können wir ungefähr einschätzen, welche Gefahren im digitalen Universum drohen. Hierbei handelt es sich jedoch nur um beschreibende Informationen. CVE und NVD geben lediglich Aufschluss darüber, welche Schwachstellen in der Theorie existieren – nicht aber in der Praxis. Über den tatsächlichen, aktiven Bestand an Schwachstellen sagen sie nichts aus.
Man benötigt Erkenntnisse über das Verhalten der Endnutzer sowie Telemetriedaten, um ein Verständnis für die realen Schwachstellen zu erlangen. Genau darauf hat sich Tenable Research spezialisiert. Wir kennen den tatsächlichen Bestand an Schwachstellen. Von den 107.710 verschiedenen CVEs, die seit 1999 veröffentlicht wurden, traten nur 22.625 (23 Prozent) tatsächlich in Unternehmen auf. Das ist das wahre Schwachstellen-Ökosystem. Die übrigen Schwachstellen sind entweder bereits ausgestorben oder schlummern tief im ewigen Eis der digitalen Weiten vor sich hin.
Sowohl relativ als auch absolut gesehen nimmt die Anzahl der Schwachstellen kontinuierlich zu. 2017 wurden 15.038 neue Schwachstellen veröffentlicht. Gegenüber dem Wert von 9.837 für 2016 ist dies ein Anstieg um 53 Prozent. Wenn man die erste Jahreshälfte von 2018 mit der ersten Hälfte von 2017 vergleicht, ist derzeit mit einem Anstieg um 27 Prozent bzw. voraussichtlich 18.000 bis 19.000 neuen Schwachstellen für dieses Jahr zu rechnen. Nüchtern betrachtet ist diese Prognose vermutlich noch zu vorsichtig.
Größenordnung und Komplexität, Volumen und Geschwindigkeit: Das sind die Kennzahlen, an denen sich ein effektives und modernes Management von Bedrohungen und Schwachstellen orientieren muss. Dabei geht es um die Größenordnung und Komplexität verteilter, mobiler und heterogener Netzwerke und Nutzer, die Menge der daraus resultierenden Schwachstellen sowie die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt und ausgenutzt werden. Mehr denn je setzt dies verwertbare Informationen voraus. Das gilt natürlich auch für Tenable Research. Schließlich machen wir genau das, was wir auch anderen empfehlen. Das Ergebnis: unser Vulnerability Intelligence Report. Da wir vollständige Offenlegung und Weitergabe von Informationen in diesem Zusammenhang für wichtig halten, stellen wir den Bericht unserer Community zur Verfügung.
Hier können Sie den Bericht herunterladen. Unterdessen möchte ich auf drei Aspekte eingehen, die uns bei Tenable Research besonders ins Auge gefallen sind:
CVSS Version 3 hat das Priorisierungsproblem noch verschärft
Die CVSS-Version 3 wurde 2015 veröffentlicht. Damit sollten unter anderem einige Unzulänglichkeiten von Version 2 bei der Bewertung der Auswirkungen einer Schwachstelle beseitigt werden. Während für ältere Schwachstellen nur selten Bewertungen nach Version 3 verfügbar sind, erhalten die meisten Schwachstellen ab 2016 mittlerweile CVSSv3-Bewertungen. Laut Rückmeldungen von Anwendern und Dritten weist die Version 3 jedoch auch gewisse Schwächen auf. Diese Kritik wird durch unsere eigenen Analysen bestätigt. Sie zeigen, dass CVSSv3 den Schweregrad der meisten Schwachstellen als „Hoch“ oder „Kritisch“ einstuft.
Wie in Abbildung 1 zu sehen ist, stufte CVSSv2 den Schweregrad bei 31 Prozent der CVEs als hoch ein. Nach CVSSv3 hingegen lautete der Schweregrad bei 60 Prozent der Fälle „Hoch“ oder „Kritisch“.
Das Problem der Prioritätensetzung wird noch verschärft anstatt erleichtert, wenn man ausschließlich CVSSv3 verwendet. Das soll jedoch nicht heißen, dass wir lieber zu CVSSv2 zurückkehren würden. Schließlich ist der eigentliche Grund für die Einführung von Version 3 nicht aus der Welt geschafft: Version 2 bietet keine verlässlichen Informationen dazu, welches Risiko eine Schwachstelle für andere Systemkomponenten darstellt.
Abbildung 1: CVEs insgesamt – Verteilung der CVSS-Schweregrade
Ältere Schwachstellen stellen nach wie vor ein Restrisiko dar
Im zweiten Abschnitt des Berichts untersuchen wir die Prävalenz von Schwachstellen, also die Schwachstellen, die tatsächlich in Unternehmen vorhanden sind. Dazu analysieren wir die Daten aus über 900.000 Vulnerability-Assessment-Scans, die zwischen März und August 2018 durchgeführt wurden. Außerdem haben wir die Daten nach Schwachstellen bei Webbrowsern und Applikationen aufgeschlüsselt, da sie häufig das Ziel von Exploit-Kits und anderen clientseitigen Angriffen sind. Was ist uns direkt aufgefallen? Viele der von Unternehmen festgestellten Schwachstellen betreffen ältere oder veraltete Software.
In Abbildung 2 ist die Konzentration der Schwachstellen in Firefox von 2012 bis 2017 deutlich zu erkennen. Der Höhepunkt wurde 2015 erreicht. Der Anteil von Firefox am Browser-Markt liegt nur bei etwas mehr als 10 Prozent. Doch 53 Prozent aller Schwachstellen mit einem hohen Schweregrad in unserem Datenbestand betrafen Firefox. Schwachstellen in Firefox werden nicht mehr behoben.
Abbildung 2: Unterschiedliche Webbrowser-CVEs mit hohem Schweregrad in Unternehmen
In Abbildung 3 ist ein ähnliches Phänomen für Microsoft Office und Oracle Java dargestellt.
Abbildung 3: Unterschiedliche Applikations-CVEs mit hohem Schweregrad in Unternehmen
Für das Festhalten an veralteten Systemen und Software mag es nachvollziehbare geschäftliche Gründe geben. Insbesondere Java ist bekannt dafür, durch Versionsabhängigkeiten Probleme zu verursachen. In solchen Fällen können die betroffenen Systeme segmentiert werden. Denkbar ist auch, die Software auf einem virtuellen System zu installieren und nur bei Bedarf zu starten. Ohne einen triftigen geschäftlichen Grund stellen diese Applikationen jedoch ein Restrisiko dar, das vermeidbar ist.
Die Ausnutzbarkeit wird nicht hinreichend als Kriterium für die Priorisierung herangezogen
Wenn eine Schwachstelle zuerst entdeckt wird, ist das Risiko rein hypothetisch. Mit Veröffentlichung eines Exploits wird diese Schwachstelle zu einem potenziellen Risiko, sofern sie auf Ihrem System vorhanden ist. Unseren Recherchen zufolge waren 2017 für sieben Prozent der aufgedeckten Schwachstellen Exploits öffentlich verfügbar. Damit blieben den Unternehmen zwar immer noch bis zu 751 Schwachstellen, die nach der Dringlichkeit ihrer Behebung zu ordnen waren. Doch das ist deutlich weniger als die Anzahl der Schwachstellen, die sie nur unter Berücksichtigung von CVSSv3 zu bearbeiten gehabt hätten. Diese Methode hätte 8.120 Schwachstellen (54 Prozent der Gesamtzahl) mit einem CVSSv3-Wert von 7,0 oder höher ergeben. Selbst mit einer Beschränkung auf einen CVSSv3-Wert von 9,0 bis 10, also „kritische“ Schwachstellen, wäre man auf 1.804 Schwachstellen (12 Prozent) gekommen.
Diese Informationen steht den meisten Endnutzern in ihrer VA-Lösung zur Verfügung. Durch einen Abgleich von Ausnutzbarkeitsdaten mit erkannten Schwachstellen werden sie automatisch operationalisiert.
Bei der Analyse der 609 verschiedenen Applikationsschwachstellen mit hohem Schweregrad in unserem Datenbestand stellten wir fest, dass Schwachstellen, für die Exploits öffentlich verfügbar sind, durch die meisten Sicherheitsupdates behoben werden konnten. Wie Sie in Abbildung 4 sehen können, sind für ganze 79 Prozent der fehlenden Sicherheitsupdates, mit denen Adobe Flash-Schwachstellen mit hohem Schweregrad behoben werden können und von Unternehmen in ihrer Umgebung als nicht vorhanden erkannt wurden, Exploits öffentlich verfügbar. Bei Adobe PDF liegt dieser Wert sogar bei 96 %. Angesichts der Tatsache, dass Internetinhalte, die mit Flash angezeigt werden können, stark abgenommen haben und Flash ab 2020 nicht mehr unterstützt wird, ist der Nutzen einer Flash-Installation mittlerweile sehr gering. Das Programm stellt sogar ein erhebliches Risiko dar. Der niedrigste Prozentsatz in einer Applikationsgruppe, bei der Sicherheitsupdates für eine Schwachstelle mit einem öffentlich verfügbaren Exploit fehlten, lag im Dataset bei 41 Prozent.
Abbildung 4: Für ganze 79 Prozent der fehlenden Sicherheitsupdates, mit denen Schwachstellen von Adobe Flash mit hohem Schweregrad behoben werden können, sind Exploits öffentlich verfügbar
Wenn man bedenkt, wie hilfreich Ausnutzbarkeit – also die öffentliche Verfügbarkeit von Exploits – als Kriterium für die Beurteilung ist, ob eine Schwachstelle ein akutes Risiko darstellt, und dass die entsprechenden Informationen allgemein zugänglich sind, hat uns diese Feststellung überrascht. In der Community sollte das Bewusstsein für dieses einfache, aber wirksame Priorisierungskriterium zweifellos geschärft werden.
Das sind lediglich drei der verschiedenen wichtigen Erkenntnisse, die uns besonders aufgefallen sind. Hier finden Sie den ausführlichen Bericht.
Mehr erfahren:
- Laden Sie den Vulnerability Intelligence Report herunter.
- Lesen Sie das eBook: Priorisierung von Cybersecurity-Risiken: Ein Leitfaden für CISOs
- Lesen Sie unseren Blog: Vulnerability Intelligence Report: Ein bedrohungsorientierter Ansatz für die Priorisierung.
Verwandte Artikel
- Metrics
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning