Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Daten in Maßnahmen umsetzen: Intelligence-gestütztes Schwachstellen-Management

Daten in Maßnahmen umsetzen: Intelligence-gestütztes Schwachstellen-Management

Prioritizing vulnerabilities with context has always been a challenge for vulnerability management teams – and this task isn’t getting easier as published CVEs continue to grow. To remedy this, many enterprises are forced to invest in products and services to protect their environments with various intelligence data and tools. In this blog, we explain how Tenable Vulnerability Intelligence and Exposure Response help organizations to make data-driven decisions to better prioritize and operationalize their programs.

Schwachstellen-Management (Vulnerability Management, VM) stellt für Unternehmen ein scheinbar unüberwindbares Hindernis dar: Wie soll man mit der massiven und schnell wachsenden Zahl veröffentlichter CVEs (Common Vulnerabilities and Exposures) umgehen? Als Unternehmen, das von Anfang an auf Schwachstellen-Management fokussiert war, hat auch Tenable mit diesem Problem zu kämpfen, jedoch mit einer zusätzlichen Komplikation: Aufgrund unseres breiten Kundenstamms müssen wir so viele CVEs wie möglich in möglichst vielen Produkten abdecken und gleichzeitig den Risikokontext, die Genauigkeit und die Zuverlässigkeit wahren.

The solution isn’t to try to check for every possible combination of CVEs and affected products. We have to prioritize the most critical vulnerabilities with accurate and targeted context. To make these decisions quickly and precisely, Tenable leverages a vast, searchable database of vulnerability information from both external sources and from Tenable Research. This is the same data source that drives a new capability in the Tenable Vulnerability Management product called Vulnerability Intelligence, which is aimed at helping customers better operationalize their vulnerability management programs and make quick data-driven prioritization decisions.

Die Lage ist schlecht und wird immer schlimmer

We’re only halfway through 2024, and we’re well on pace to exceed 30,000 published CVEs this year. Further complicating matters, we’re seeing more and more CVEs in underlying components, frameworks, and language libraries. This means organizations aren’t fixing a single application but rather tracking down and fixing every application that leverages the impacted vulnerable component.

Diagramm der pro Jahr veröffentlichten CVEs

Nutzung von Vulnerability Intelligence zur Ausarbeitung von Priorisierungsstrategien

 Bei Tenable bemühen wir uns nicht nur täglich darum, aktuelle Schwachstellen-Abdeckung für Versionen wichtiger Produkte bereitzustellen, sondern sind auch ständig auf der Suche nach der nächsten bedeutenden Schwachstelle, um sicherzustellen, dass wir so schnell wie möglich reagieren können. Die Auswertung der Kontextdaten aus Vulnerability Intelligence ist entscheidend dafür, dass wir schnell fundierte Entscheidungen treffen können. Angesichts des beträchtlichen Rückstands, der bei der National Vulnerability Database (NVD) zu verzeichnen ist, können wir dank unserem Vulnerability Intelligence-Datenbestand über die neuesten Schwachstellen und Risiken auf dem Laufenden bleiben, da wir nicht nur an eine einzige Datenquelle gebunden sind.

Nutzung von Vulnerability Intelligence zur Ausarbeitung von Priorisierungsstrategien

Nach dem Öffnen von Vulnerability Intelligence wird eine Reihe von Sechsecken angezeigt, die Risikokategorien von Schwachstellen darstellen, die wir als besonders bedrohlich hervorheben möchten. Die Kategorien in Vulnerability Intelligence sind zwar nicht die einzigen Entscheidungskriterien, basieren jedoch auf Datenpunkten, die in die Tenable Vulnerability Database einfließen, die wiederum die Grundlage für unsere Entscheidungen zur Risikobewertung bildet. 

Zu den Kategorien gehören: 

  • Neuartige Bedrohungen („Emerging Threats“) sind eine Reihe von Schwachstellen, die von unserem Security Response Team aktiv überwacht werden und bei denen es oft einen unmittelbaren Weg von diesem Team zur Entwicklung von Plugins gibt, die diese Schwachstellen abdecken. Dies gilt insbesondere für Schwachstellen der Kategorien „Vulnerabilities of Interest“ und „Vulnerabilities of Concern“.
  • VPR gives our teams a numerical score to quickly input and sort on, though as with any score, understanding the context behind it is critical.
  • Ransomware hebt die mit diesem Angriffstyp verbundenen Schwachstellen hervor, insbesondere in wichtigen Enterprise-Anwendungen, da diese zu Angriffen führen können, die für alle Organisationen besonders gefährlich sind.

Wie im Screenshot oben zu sehen ist, lässt sich die Anzahl der CVEs, die es zu beachten gilt, erheblich reduzieren, wenn Sie sich auf eine dieser Zielkategorien konzentrieren. Im Vergleich zu den etwa 250.000 CVEs, die bisher veröffentlicht wurden, sind die oben genannten Zahlen weitaus überschaubarer und entsprechen entsprechen dem tatsächlichen Risiko, im Gegensatz zu den Schweregraden, die sich aus der Verwendung von CVSS-Metriken ergeben.

Umwandlung von Daten in eine Priorisierungsstrategie

Viele Unternehmen bauen ihre Prozesse immer noch auf grundlegenden Priorisierungsmetriken auf – sei es im Hinblick auf bestimmte Produkte, CVSS-Scores oder proprietäre Vorgaben. Oft liegt dies an der Notwendigkeit, einen bestimmten Compliance-Standard einzuhalten, oder einfach daran, dass man etwas braucht, das gemessen werden kann. Zwar kann die Verfolgung und Messung anhand eines einfachen CVSS-Scores oder Schweregrads recht einfach sein, doch diese Methode bietet kaum Kontext und ist keine Strategie, die eine nachweisliche Wirkung auf das Risiko hat.

Daten mithilfe von Tenable Exposure Response in eine Priorisierungsstrategie umwandeln

 

Genau hierbei kann die neue Funktion „Exposure Response“ von Tenable Vulnerability Management helfen. Mithilfe von Exposure Response können Teams Schwachstellen-Management-Strategien entwickeln, die messbar sind und das reale Risiko widerspiegeln. Eines der wichtigsten Tools in jedem VM-Programm ist die Fähigkeit, die Leistung zu verfolgen. Leider sehen die meisten Diagramme am Ende wie eine flache Linie aus, da die Anzahl neu hinzukommender Schwachstellen die Anzahl der Schwachstellen ausgleicht, die laufend behoben werden. Durch fokussiertere Zielvorgaben ist es möglich, die Leistung im Zeitverlauf wirklich zu messen und erreichbare SLA-Ziele aufzustellen.

 

Nutzen Sie Tenable Exposure Response, um Daten in eine Priorisierungsstrategie zu verwandeln
 

CISA-KEV-Initiativen

Der KEV-Katalog (Known Exploited Vulnerabilities) der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat sich zu einer wertvollen und beliebten Ressource entwickelt, die den Fokus auf eine bestimmte Gruppe von Schwachstellen lenkt, die nachweislich in freier Wildbahn ausgenutzt wurden. Obwohl der KEV-Katalog nicht umfassend ist, haben das mit diesen speziellen CVEs verbundene Risiko und die Aufmerksamkeit, die viele Unternehmen dem KEV-Katealog schenken, dazu geführt, dass er einer von mehreren Benchmarks ist, die unsere Tenable Research-Teams zur Verfolgung der Schwachstellenabdeckung nutzen. Mit Exposure Response können Vulnerability Management-Teams eine nachverfolgbare CISA KEV-basierte Initiative erstellen, an der sie ihre Behebungsmaßnahmen messen können. Wie bereits erwähnt, sind SLAs und Benchmarks für jede Behebungsstrategie von entscheidender Bedeutung. Wir bemühen uns, so schnell wie möglich eine Abdeckung für KEV-Schwachstellen bereitzustellen, idealerweise noch bevor sie im KEV veröffentlicht werden, aber wenn nicht, dann oftmals innerhalb weniger Stunden nach der Veröffentlichung im KEV.

Tenable VM deckt den CISA KEV-Katalog ab

Exposure Response bietet genau die Tools, die für diese Art von Messungen benötigt werden. Angesichts der Sichtbarkeit und des Risikos, die mit dem KEV einhergehen, kann es sinnvoll sein, ein SLA von nur wenigen Tagen aufzustellen und einen Richtwert von >90 % behobener Funde anzustreben. Das Wichtigste dabei ist, dass die festgelegten Strategien messbar und realisierbar sind.

Unlike the 250,000 CVEs that have been published, to date there are only 1,134 CVEs in the CISA KEV catalog. With only a handful of CVEs added to the KEV each month, this is an impactful set of CVEs that teams can actually measure performance against.

Fazit

Die Priorisierung und Operationalisierung von Schwachstellen ist seit langem eine große Herausforderung für die Teams, die für das Schwachstellen-Management zuständig sind. Die schiere Menge an Schwachstellen, die Jahr für Jahr veröffentlicht werden, bedeutet, dass Teams einfach nicht mithalten können. Der Mangel an leicht zugänglichem Kontext führt zudem dazu, dass die Priorisierung oftmals entweder ein reines Ratespiel ist, einen enormen Arbeitsaufwand darstellt oder eine begrenzte Anstrengung ist, die zu kurz greift, weil man sich beispielsweise nur auf CVSS-Schweregrade konzentriert. Tenable Vulnerability Management bietet deshalb ab sofort Vulnerability Intelligence, das den gesamten benötigten Kontext an einem zentralen Ort bereitstellt, sowie Exposure Response, um einen zielgerichteten und messbaren Workflow für das Schwachstellen-Management zu ermöglichen.

Mehr erfahren

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen