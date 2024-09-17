Aktualisiert am 24. September 2024
Im Februar begann die Zahl der in der National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) verarbeiteten und aufbereiteten Schwachstellen zu sinken. Im Mai warteten laut Forschung von VulnCheck noch 93,4 % der neuen Schwachstellen und 50,8 % der bekannten ausgenutzten Schwachstellen auf eine Analyse.
Drei Monate später besteht das Problem weiterhin. Zwar hat das NIST einen Plan, wieder auf Kurs zu kommen, die aktuelle Analyse des aktuellen Zustands gängiger Schwachstellen und Gefährdungen (CVEs) hält jedoch nicht mit der Erkennung neuer Schwachstellen mit. Hier ein Blick darauf, was hinter dem Rückstau steckt, warum CVEs möglicherweise nicht mehr der Heilige Gral der IT-Abwehr sind und wie Sicherheitsteams Angriffen immer einen Schritt voraus sein können.
Budgetkürzungen tragen teilweise zur Problematik bei der CVE-Analyse bei. Wie das Security Magazine berichtet, wurden die Mittel des NIST in diesem Jahr um 12 % gekürzt, was es für die Behörde schwieriger macht, CVEs zu erweitern. In der Praxis ist die NVD praktisch ein nachgelagerter Verbraucher von CVE-Daten – während die Anzahl der gefundenen und gemeldeten CVEs stabil bleibt, hat sich die Fähigkeit des NIST, diese Schwachstellen zu bewerten und zu ergänzen, erheblich verringert.
Die schiere Anzahl der gemeldeten Sicherheitslücken stellt ebenfalls ein Problem für die Analyse dar. Flashpoint-Forschung fand heraus, dass das NIST im Jahr 2023 33.137 Sicherheitslücken gemeldet hat. Zum Teil sind die steigenden Zahlen auf verbesserte Erkennungsfunktionen zurückzuführen. Wenn Unternehmen ihre Sicherheitsbemühungen mit Cloud-basierten Technologien und KI-fähigen Tools ausweiten, können sie potenzielle Bedrohungen besser erkennen. Daher sind größere Zahlen nicht immer ein Zeichen für ein erhöhtes Risiko, aber sie deuten auf eine wachsende Anzahl potenzieller Angriffswege hin.
Das NIST hat einen Plan, um den Rückstau abzubauen. Laut USASpending.gov hat die Regierung einen Vertrag über 860.000 USD an Analygence für Cybersicherheitsanalyse und E-Mail-Support vergeben. Die Analysearbeiten sollten am 3. Juni beginnen, und das NIST hofft, bis September 2024 wieder auf Kurs zu sein. Der Vertrag soll zwar im Dezember 2024 enden, aber die Agentur hat die Option, den Service bis Juli 2025 zu verlängern.
Die Besorgnis über den Rückstand bei der NVD ist verständlich. Je länger es dauert, bis das NIST CVEs analysiert und wirksame Gegenmaßnahmen vorschlägt, desto größer ist das Risiko für Unternehmen.
Wie Cybersecurity Dive festgestellt, verändert sich jedoch die Cybersicherheitslandschaft. Während des virtuellen Gartner Security and Risk Management-Gipfels stellte der Hauptanalyst Mitchell Schneider fest, dass die Gesamtzahl der Schwachstellen zwar weiter zunimmt, kritische CVEs jedoch nicht ihre hohen, mittleren und niedrigen Gegenstücke übertreffen.
Hinzu kommt, dass Angreifer den Schweregrad von CVEs nicht als Kriterium für eine Kompromittierung verwenden. „Es besteht kein direkter Zusammenhang zwischen der Schwachstelle und deren Ausnutzung durch Bedrohungsakteure in Bezug auf die Schweregradeinstufungen“, so Schneider. Vielmehr konzentrieren sich die Angreifer auf die am besten ausnutzbaren Schwachstellen, die oft als mittelschwer oder leicht eingestuft werden.
In der Praxis führt dies zu einer Situation, in der man den Wald vor lauter Bäumen nicht mehr sieht: Wenn sich Unternehmen zu sehr auf kritische CVEs konzentrieren, können sie mittelmäßige Exploits übersehen, die es Angreifern ermöglichen, sich Netzwerkzugriff zu verschaffen und sich dann lateral in kritischere Systeme zu bewegen.
Das Ergebnis? Die allgemeine Schwachstellendatenbank bleibt zwar ein entscheidender Bestandteil effektiver Sicherheit, aber sie ist keine Wunderwaffe. Die Taktiken von Cyberangriffen verändern sich, und Sicherheitsteams müssen darauf vorbereitet sein, entsprechend zu reagieren.
Wie sieht diese Veränderung also in der Praxis aus?
Vier Überlegungen können Unternehmen dabei helfen, in einer Welt verzögerter NVD-Erweiterungen eine bessere Abwehr aufzubauen.
Angesichts der zunehmenden Verbreitung von Angriffsmethoden und -mustern müssen Unternehmen der IT-Transparenz Priorität einräumen. Man stelle sich ein Unternehmen vor, das lokale Speicher für kritische Daten, Public Clouds für Tests und Entwicklung und Private Clouds für einfach skalierbare Anwendungsressourcen nutzt.
In der neuen Bedrohungslandschaft können Angriffe jederzeit und von überall her erfolgen. Wenn Angreifer unentdeckt bleiben, können sie Zeit gewinnen, Daten sammeln und ideale Angriffswege ausfindig machen. Daher ist vollständige Transparenz entscheidend. Je mehr Unternehmen über das Geschehen in ihren Umgebungen wissen, desto besser sind sie darauf vorbereitet, Angriffe zu erkennen, zu identifizieren und einzudämmen.
Wie Gartner deutlich macht, hat die Ausnutzbarkeit von Sicherheitslücken für Angreifer mittlerweile höchste Priorität. Während schwerwiegendere Sicherheitslücken kurzfristig wertvollere Ziele darstellen mögen, können ausnutzbare Schwachstellen mittlerer oder niedriger Schwere Angreifern den Weg zu anhaltendem Erfolg ebnen.
Zum Beispiel können böswillige Akteure eine Sicherheitslücke mittleren Schweregrades am Edge von Unternehmensnetzwerken ausnutzen. In diesem Fall können sie möglicherweise Backdoors erstellen und pflegen, die einen permanenten Zugriff auf Unternehmenssysteme ermöglichen. Von dort aus können sie Erkundungsarbeit durchführen und abwarten, bis sich die Sicherheitsteams auf andere Schwachstellen konzentrieren.
Indem sie sich auf die am besten ausnutzbaren statt auf die schwerwiegendsten Schwachstellen konzentrieren, können Sicherheitsteams die Wahrscheinlichkeit erfolgreicher Angriffe verringern.
Sicherheit ist nicht mehr die ausschließliche Aufgabe von IT-Teams. Die Teams aus den Bereichen Betrieb, Finanzen, Marketing, Vertrieb und Kundenservice tragen alle eine Rolle bei der Gewährleistung der Sicherheit von Unternehmen. Obwohl die letztendliche Verantwortung für die Sicherheit weiterhin bei den Technologieexperten liegt, kann die Verteilung der Belastung zwischen Teams sowohl die Erkennungsrate verbessern als auch die Zeit zwischen Identifizierung und Reaktion verkürzen.
Aufgrund des Bearbeitungsstau bei der NVD ist es für Sicherheitsteams wichtig, alternative Ressourcen zu finden und zu nutzen. Zu den möglichen Sicherheitsquellen gehören:
Das NIST hofft, den NVD-Rückstau bis September 2024 zu beseitigen, doch es gibt keine Garantie, dass seine Bemühungen erfolgreich sein werden. Wie The Record anmerkt, haben Senator Mark Warner (D-VA) und Thom Tillies (R-NC) einen Gesetzentwurf vorgeschlagen, der die Finanzierung des NIST wiederherstellen und den Fokus auf neue Risiken wie KI-gestützte Bedrohungen verstärken würde, doch das Gesetz steckt noch in den Kinderschuhen.
Mit anderen Worten: Während die Behörde und die Bundesgesetzgeber die kritischen Auswirkungen von CVE-Analyse und -Aufbereitung erkennen, können Unternehmen sich nicht darauf verlassen, dass die NVD aktuelle Schwachstellendaten liefert.
Vielmehr tun Unternehmen gut daran, ihre Vorgehensweise an die sich wandelnden Angriffsstrategien anzupassen. Durch die Implementierung von Werkzeugen, die die Sichtbarkeit verbessern und die Ausnutzbarkeit identifizieren, können Unternehmen Hochrisikobedrohungen priorisieren. Durch die Aufteilung der Sicherheitslast auf verschiedene Abteilungen und die Ausweitung der Nutzung verfügbarer Sicherheitsressourcen können Unternehmen gleichzeitig effektiver auf sich ändernde Angriffsprioritäten reagieren.
Korrektur: Dieser Artikel wurde aktualisiert, um die Unterschiede zwischen NVD und CVE zu verdeutlichen. Das CVE-Programm katalogisiert öffentlich bekannt gewordene Sicherheitslücken über CVE-Einträge, während die NVD ein nachgelagerter Nutzer der Daten des CVE-Programms ist.
