Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Drei interessante Erkenntnisse zum Thema Schwachstellen

Der Vulnerability Intelligence Report, der heute von Tenable Research veröffentlicht wird, gibt Ihnen einen Überblick über aktuelle Trends bei der Aufdeckung von Schwachstellen und veranschaulicht diese anhand konkreter Daten aus der Welt der Wirtschaft. Im Folgenden möchten wir Ihnen drei wichtige Erkenntnisse aus dem Bericht vorstellen.

Bei Tenable Research dreht sich alles um Schwachstellen. Daher ist der Zustand des Schwachstellen-Ökosystems für uns von besonderem Interesse.

Um sich einen Überblick über die gesamte Bandbreite des Schwachstellen-Ökosystems zu verschaffen, müssen zunächst einmal die Entwicklungen und Trends bei der Untersuchung und Aufdeckung von Schwachstellen betrachtet werden. Dieser Aspekt wird bereits eingehend untersucht. Zahlreiche Anbieter und Branchenverbände äußern sich regelmäßig in der Liste der Common Vulnerabilities and Exposures (CVE) und in der National Vulnerability Database (NVD) zu den aktuellen Trends. Wenn wir über die Vielfalt, die Zunahme und Weiterentwicklung von Schwachstellen und gängigen Sicherheitslücken Bescheid wissen, können wir ungefähr einschätzen, welche Gefahren im digitalen Universum drohen. Hierbei handelt es sich jedoch nur um beschreibende Informationen. CVE und NVD geben lediglich Aufschluss darüber, welche Schwachstellen in der Theorie existieren – nicht aber in der Praxis. Über den tatsächlichen, aktiven Bestand an Schwachstellen sagen sie nichts aus.

Man benötigt Erkenntnisse über das Verhalten der Endnutzer sowie Telemetriedaten, um ein Verständnis für die realen Schwachstellen zu erlangen. Genau darauf hat sich Tenable Research spezialisiert. Wir kennen den tatsächlichen Bestand an Schwachstellen. Von den 107.710 verschiedenen CVEs, die seit 1999 veröffentlicht wurden, traten nur 22.625 (23 Prozent) tatsächlich in Unternehmen auf. Das ist das wahre Schwachstellen-Ökosystem. Die übrigen Schwachstellen sind entweder bereits ausgestorben oder schlummern tief im ewigen Eis der digitalen Weiten vor sich hin.

Sowohl relativ als auch absolut gesehen nimmt die Anzahl der Schwachstellen kontinuierlich zu. 2017 wurden 15.038 neue Schwachstellen veröffentlicht. Gegenüber dem Wert von 9.837 für 2016 ist dies ein Anstieg um 53 Prozent. Wenn man die erste Jahreshälfte von 2018 mit der ersten Hälfte von 2017 vergleicht, ist derzeit mit einem Anstieg um 27 Prozent bzw. voraussichtlich 18.000 bis 19.000 neuen Schwachstellen für dieses Jahr zu rechnen. Nüchtern betrachtet ist diese Prognose vermutlich noch zu vorsichtig.

Größenordnung und Komplexität, Volumen und Geschwindigkeit: Das sind die Kennzahlen, an denen sich ein effektives und modernes Management von Bedrohungen und Schwachstellen orientieren muss. Dabei geht es um die Größenordnung und Komplexität verteilter, mobiler und heterogener Netzwerke und Nutzer, die Menge der daraus resultierenden Schwachstellen sowie die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt und ausgenutzt werden. Mehr denn je setzt dies verwertbare Informationen voraus. Das gilt natürlich auch für Tenable Research. Schließlich machen wir genau das, was wir auch anderen empfehlen. Das Ergebnis: unser Vulnerability Intelligence Report. Da wir vollständige Offenlegung und Weitergabe von Informationen in diesem Zusammenhang für wichtig halten, stellen wir den Bericht unserer Community zur Verfügung.

Hier können Sie den Bericht herunterladen. Unterdessen möchte ich auf drei Aspekte eingehen, die uns bei Tenable Research besonders ins Auge gefallen sind:

CVSS Version 3 hat das Priorisierungsproblem noch verschärft

Die CVSS-Version 3 wurde 2015 veröffentlicht. Damit sollten unter anderem einige Unzulänglichkeiten von Version 2 bei der Bewertung der Auswirkungen einer Schwachstelle beseitigt werden. Während für ältere Schwachstellen nur selten Bewertungen nach Version 3 verfügbar sind, erhalten die meisten Schwachstellen ab 2016 mittlerweile CVSSv3-Bewertungen. Laut Rückmeldungen von Anwendern und Dritten weist die Version 3 jedoch auch gewisse Schwächen auf. Diese Kritik wird durch unsere eigenen Analysen bestätigt. Sie zeigen, dass CVSSv3 den Schweregrad der meisten Schwachstellen als „Hoch“ oder „Kritisch“ einstuft.

Wie in Abbildung 1 zu sehen ist, stufte CVSSv2 den Schweregrad bei 31 Prozent der CVEs als hoch ein. Nach CVSSv3 hingegen lautete der Schweregrad bei 60 Prozent der Fälle „Hoch“ oder „Kritisch“.

Das Problem der Prioritätensetzung wird noch verschärft anstatt erleichtert, wenn man ausschließlich CVSSv3 verwendet. Das soll jedoch nicht heißen, dass wir lieber zu CVSSv2 zurückkehren würden. Schließlich ist der eigentliche Grund für die Einführung von Version 3 nicht aus der Welt geschafft: Version 2 bietet keine verlässlichen Informationen dazu, welches Risiko eine Schwachstelle für andere Systemkomponenten darstellt.

Tenable Vulnerability Intelligence Report - CVEs insgesamt – Verteilung der CVSS-Schweregrade

Abbildung 1: CVEs insgesamt – Verteilung der CVSS-Schweregrade

Ältere Schwachstellen stellen nach wie vor ein Restrisiko dar

Im zweiten Abschnitt des Berichts untersuchen wir die Prävalenz von Schwachstellen, also die Schwachstellen, die tatsächlich in Unternehmen vorhanden sind. Dazu analysieren wir die Daten aus über 900.000 Vulnerability-Assessment-Scans, die zwischen März und August 2018 durchgeführt wurden. Außerdem haben wir die Daten nach Schwachstellen bei Webbrowsern und Applikationen aufgeschlüsselt, da sie häufig das Ziel von Exploit-Kits und anderen clientseitigen Angriffen sind. Was ist uns direkt aufgefallen? Viele der von Unternehmen festgestellten Schwachstellen betreffen ältere oder veraltete Software.

In Abbildung 2 ist die Konzentration der Schwachstellen in Firefox von 2012 bis 2017 deutlich zu erkennen. Der Höhepunkt wurde 2015 erreicht. Der Anteil von Firefox am Browser-Markt liegt nur bei etwas mehr als 10 Prozent. Doch 53 Prozent aller Schwachstellen mit einem hohen Schweregrad in unserem Datenbestand betrafen Firefox. Schwachstellen in Firefox werden nicht mehr behoben.

Abbildung 2: Unterschiedliche Webbrowser-CVEs mit hohem Schweregrad in Unternehmen

In Abbildung 3 ist ein ähnliches Phänomen für Microsoft Office und Oracle Java dargestellt.

Abbildung 3: Unterschiedliche Applikations-CVEs mit hohem Schweregrad in Unternehmen

Für das Festhalten an veralteten Systemen und Software mag es nachvollziehbare geschäftliche Gründe geben. Insbesondere Java ist bekannt dafür, durch Versionsabhängigkeiten Probleme zu verursachen. In solchen Fällen können die betroffenen Systeme segmentiert werden. Denkbar ist auch, die Software auf einem virtuellen System zu installieren und nur bei Bedarf zu starten. Ohne einen triftigen geschäftlichen Grund stellen diese Applikationen jedoch ein Restrisiko dar, das vermeidbar ist.

Die Ausnutzbarkeit wird nicht hinreichend als Kriterium für die Priorisierung herangezogen

Wenn eine Schwachstelle zuerst entdeckt wird, ist das Risiko rein hypothetisch. Mit Veröffentlichung eines Exploits wird diese Schwachstelle zu einem potenziellen Risiko, sofern sie auf Ihrem System vorhanden ist. Unseren Recherchen zufolge waren 2017 für sieben Prozent der aufgedeckten Schwachstellen Exploits öffentlich verfügbar. Damit blieben den Unternehmen zwar immer noch bis zu 751 Schwachstellen, die nach der Dringlichkeit ihrer Behebung zu ordnen waren. Doch das ist deutlich weniger als die Anzahl der Schwachstellen, die sie nur unter Berücksichtigung von CVSSv3 zu bearbeiten gehabt hätten. Diese Methode hätte 8.120 Schwachstellen (54 Prozent der Gesamtzahl) mit einem CVSSv3-Wert von 7,0 oder höher ergeben. Selbst mit einer Beschränkung auf einen CVSSv3-Wert von 9,0 bis 10, also „kritische“ Schwachstellen, wäre man auf 1.804 Schwachstellen (12 Prozent) gekommen.

Diese Informationen steht den meisten Endnutzern in ihrer VA-Lösung zur Verfügung. Durch einen Abgleich von Ausnutzbarkeitsdaten mit erkannten Schwachstellen werden sie automatisch operationalisiert.

Bei der Analyse der 609 verschiedenen Applikationsschwachstellen mit hohem Schweregrad in unserem Datenbestand stellten wir fest, dass Schwachstellen, für die Exploits öffentlich verfügbar sind, durch die meisten Sicherheitsupdates behoben werden konnten. Wie Sie in Abbildung 4 sehen können, sind für ganze 79 Prozent der fehlenden Sicherheitsupdates, mit denen Adobe Flash-Schwachstellen mit hohem Schweregrad behoben werden können und von Unternehmen in ihrer Umgebung als nicht vorhanden erkannt wurden, Exploits öffentlich verfügbar. Bei Adobe PDF liegt dieser Wert sogar bei 96 %. Angesichts der Tatsache, dass Internetinhalte, die mit Flash angezeigt werden können, stark abgenommen haben und Flash ab 2020 nicht mehr unterstützt wird, ist der Nutzen einer Flash-Installation mittlerweile sehr gering. Das Programm stellt sogar ein erhebliches Risiko dar. Der niedrigste Prozentsatz in einer Applikationsgruppe, bei der Sicherheitsupdates für eine Schwachstelle mit einem öffentlich verfügbaren Exploit fehlten, lag im Dataset bei 41 Prozent.

Abbildung 4: Für ganze 79 Prozent der fehlenden Sicherheitsupdates, mit denen Schwachstellen von Adobe Flash mit hohem Schweregrad behoben werden können, sind Exploits öffentlich verfügbar

Wenn man bedenkt, wie hilfreich Ausnutzbarkeit – also die öffentliche Verfügbarkeit von Exploits – als Kriterium für die Beurteilung ist, ob eine Schwachstelle ein akutes Risiko darstellt, und dass die entsprechenden Informationen allgemein zugänglich sind, hat uns diese Feststellung überrascht. In der Community sollte das Bewusstsein für dieses einfache, aber wirksame Priorisierungskriterium zweifellos geschärft werden.

Das sind lediglich drei der verschiedenen wichtigen Erkenntnisse, die uns besonders aufgefallen sind. Hier finden Sie den ausführlichen Bericht.

Mehr erfahren:

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Vormals Tenable.io Web Application Scanning

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Vormals Tenable.io Web Application Scanning

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen