Schwachstellenpriorisierung - Definition
Schwachstellenpriorisierung ist ein Prozess, der dem Security Operations Centers (SOC) hilft zu ermitteln, welche Schwachstellen am ehesten von einem Angreifer ausgenutzt werden. Wenn eine Schwachstelle entdeckt wird, ist es wichtig zu wissen, ob sie derzeit durch bekannte Exploit-Methoden von Angreifern angegriffen wird.
Im Kern sollte die Vulnerability Prioritization Technology (VPT) so funktionieren, dass sie die richtigen Kriterien und den Geschäftskontext nutzt, um Schwachstellen korrekt zu priorisieren, sobald sie in einem Endpunkt-Asset, einer Anwendung und/oder größeren Netzwerksystemen erkannt wurden. Ein SOC legt in der Regel die richtigen Kriterien fest, bevor es ein Schwachstellen-Management (VM)-Programm implementiert oder hochskaliert.
Cybersecurity-Teams sollten dann Schwachstellen gemäß ihres Schweregrads und etablierten Threat Intelligence-Feeds validieren und priorisieren. Diese Feeds sollten kontinuierlich Daten über Angreifermethoden und neue Bedrohungen sammeln und analysieren, sobald sie sich weiterentwickeln.
Auf diese Weise bleibt die Threat Intelligence immer aktuell, ebenso wie der Prozess der Priorisierung und Validierung von Schwachstellen. Die gängige Methode zur Implementierung von Threat Intelligence besteht darin, einen kuratierten Live-Feed von Schwachstellen zu starten, die von Angreifern aktiv „in freier Wildbahn“ ausgenutzt werden.
Diese Feeds kombinieren in der Regel viele Telemetriepunkte, die sogar über die Netzwerkgrenzen hinausreichen, um nach schwachen Signalen zu suchen, die darauf hindeuten, dass ein Angreifer auf der Lauer liegt. Diese Telemetrie kann Daten aus Honeypots, Incident-Response-Aktivitäten, Informationen von vertrauenswürdigen Drittanbietern und mehr enthalten.
Arten von Technologien zur Priorisierung von Schwachstellen
In der 2024 Roadmap für das Threat Exposure Management, beschreibt Gartner ein Sichtbarkeits-Framework, das entwickelt wurde, um bei der Priorisierung von Schwachstellen zu helfen:
„Verbunden mit der Zugänglichkeit, ist die Sichtbarkeit des ausnutzbaren Dienstes, Ports oder Assets. Diese Technologien implementieren Konfigurationen, um sicherzustellen, dass Details zu ausnutzbaren Elementen potenziellen Angreifern nicht offengelegt werden, können jedoch die Möglichkeit ihrer Ausnutzung nicht direkt ausschließen.“
Da die Möglichkeit ihrer potenziellen Ausnutzung nicht unbedingt ausgeschlossen werden kann, müssen VPTs die zeitnahesten Erkenntnisse liefern, damit die SOCs entsprechend priorisieren können. Lassen Sie uns einen Querschnitt der Arten von VPT ansehen:
Risiko-basierte VPTs
Diese Art von VPT verwendet in der Regel einen Risiko-„Score“, der mehrere Umgebungsfaktoren sowie einen CVSS-Score (Common Vulnerability Scoring System) berücksichtigt. Dieser bewertet Schwachstellen auf einer Skala von 1 bis 10, wobei 10 die schwerwiegendste ist. Weitere Faktoren umfassen:
- Zugriffsvektor/Ausnutzbarkeit
- Komplexität der Schwachstelle
- Authentifizierungsmodus
- Das CIA-Triade-Framework (Confidentiality, Integrity, Availability – Vertraulichkeit, Integrität, Verfügbarkeit)
Die Nutzung dieser Mischung von Faktoren, um einen Risikowert zu erhalten, der hoffentlich die Realität widerspiegelt, wird dabei helfen, zu bestimmen, wie gefährlich oder bedrohlich eine Schwachstelle für eine Unternehmensumgebung sein könnte.
Asset-basierte VPTs
Bei diesem Ansatz geht es normalerweise um die Gesamtbedeutung eines Netzwerk-Assets für den Geschäftsbetrieb. Im Wesentlichen sollte diese Art von VPT in der Lage sein, die Position eines Assets in der Gesamthierarchie der Netzwerk-Assets und -Systeme sowie dessen Auswirkungen auf das Geschäft zu berücksichtigen. Diese Informationen sind von großem Nutzen, wenn es darum geht, eine Schwachstelle zur Behebung eines bestimmten Assets zu priorisieren.
Weitere Überlegungen könnten sein, ob ein Asset dem öffentlichen Internet ausgesetzt ist oder wie stark andere Systeme in ihrem Betrieb von diesem Asset abhängen.
Kontext-/Bedrohungsbewusste VPTs
Diese Form der Priorisierung betrachtet Schwachstellen im Hinblick auf die Art des Assets, auf dem sie entdeckt wurden. Wie wird dieses Asset verwendet und wie komplex oder kritisch ist das System, in dem es sich befindet?
Was für die Funktionsfähigkeit dieses Assets erforderlich ist, kann sich durchaus völlig von dem unterscheiden, was für die Funktionsfähigkeit eines anderen Assets erforderlich ist. Daher muss ein Cybersecurity-Team den Kontext kennen, welcher Asset zu einem bestimmten Zeitpunkt kritischer ist. Dieser bedrohungsbewusste Kontext kann Teams dabei helfen, sich auf Schwachstellen zu konzentrieren, die Angreifer wahrscheinlich ausnutzen werden.
So priorisieren Sie Schwachstellen
Die Schritte, die ein Cybersecurity-Team zur Priorisierung von Schwachstellen unternimmt, werden sich je nach Art der VPT unterscheiden. Wir haben oben schon einige besprochen, aber es gibt sicherlich noch mehr Methoden da draußen.
Wenn man dieses Thema aus einer allgemeineren Perspektive betrachtet, könnte eine Fachkraft damit beginnen, Schwachstellen zu priorisieren, indem er eine Liste von Kriterien erstellt, anhand derer eine Schwachstelle bewertet werden kann:
- CVSS-Score
- Berücksichtigung der Malware-Exposition, der Exploit-Exposition und des Alters der Schwachstelle
- Kritikalität bestimmter Assets in einer konkreten Umgebung
- Wahrscheinlichkeit der Ausnutzung
- Geschäftsauswirkungen
- Zugriffsebene auf das betroffene Asset
- Wie sich das betroffene Asset auf geltende Compliance- und/oder regulatorische Anforderungenauswirkt
Es gibt zusätzliche Faktoren, die eine Organisation aufgrund ihrer einzigartigen Umstände berücksichtigen kann.
Risikobewertung und Anreicherung
Lassen Sie uns zu den Risikobewertungen zurückkehren und näher darauf eingehen, wie sie im Prozess der Priorisierung von Schwachstellen verwendet werden. Ein CVSS ist ein Faktor bei der Risikobewertung, aber es ist auch kritisch, dass Teams in der Lage sind, Daten, die von On-Premises- und Cloud-Plattformen eingehen, zu aggregieren und anzureichern, um eine umfassende Sichtbarkeit in schwer erkennbare Schwachstellen und deren Wahrscheinlichkeit der Ausnutzung zu erhalten.
Eine Schwachstellen-Management-Lösung sollte mehrere Threat Feeds berücksichtigen, die Kompromittierungsindikatoren (IOCs) mit tiefem Kontext zu Aspekten wie Softwareprodukten oder Patchstatus anreichern können. All dies hilft den Teams bei der Priorisierung von Maßnahmen, damit sie sich auf die kritischsten Schwachstellen konzentrieren können.
Wenn man etwas tiefer eintaucht, sollten Teams in der Lage sein, IOC-Feeds mit ihren kritischsten digitalen Assets und bekannten bösartigen Indikatoren zu kontextualisieren und zu korrelieren, um umfassend angereicherte IOC-Informationen zu erhalten. Dieser breite Kontext ermöglicht eine Betriebsoptimierung und eine schnellere Datenerfassung.
Mit der Anreicherung von IOCs können Sicherheits-Profis die wichtigsten IOCs priorisieren, die blockiert, behoben oder geteilt werden müssen, basierend auf der Risikobewertung bösartiger Indikatoren, die darauf hindeuten können, dass eine Schwachstelle die Aufmerksamkeit von Angreifern auf sich zieht.
Warum ist die Priorisierung von Schwachstellen wichtig?
Die Priorisierung von Schwachstellen ist wichtig, weil SOC-Mitarbeiter ihre Zeit immer klug und so effizient wie möglich nutzen sollten.
Wenn sie ihre Zeit mit einer Schwachstelle verbringen, bei der die Wahrscheinlichkeit einer Ausnutzung geringer ist – im Vergleich zu einer anderen, kürzlich entdeckten Schwachstelle –, dann ist das, offen gesagt, Zeitverschwendung und gefährdet das Cybersecurity-Team und das gesamte Unternehmen.
Herausforderungen bei der Priorisierung von Schwachstellen
In Anlehnung an den obigen Punkt sind einige Patches für kritische Schwachstellen relativ einfach, aber viele Geräte erfordern zusätzliche Tests und ein gewisses Maß an menschlichem Eingriff, bevor ein Patch sicher angewendet werden kann. Es kann schwierig sein, nicht nur zu wissen, welche Schwachstellen mit größerer Wahrscheinlichkeit ausgenutzt werden, sondern auch, welche den potenziellen Mehraufwand wert sind.
Die überwältigende Anzahl von Alerts, die täglich auf potenzielle Schwachstellen hinweisen, kann auch ein Hindernis für eine angemessene Priorisierung darstellen, selbst wenn ein automatisiertes VPT im Einsatz ist. Vielleicht besteht eine Teilherausforderung dieses Problems darin, ob ein Cybersecurity-Team überhaupt über die richtigen Fachkräfte verfügt, um VPTs ordnungsgemäß zu optimieren und jene Schwachstellen ausreichend zu validieren, die die Plattform als prioritär gegenüber anderen einstuft.
Best Practices zur Priorisierung von Schwachstellen
Nachdem wir die Tatsache hervorgehoben haben, dass die Priorisierung von Schwachstellen selbst mit einer automatisierten Lösung eine Herausforderung sein kann, ist es erwähnenswert, dass die Automatisierung – in Form von ständigem Schwachstellen-Scanning und aktualisierten Threat Feeds – auch kritisch ist, um die schiere Anzahl von Alerts zu bewältigen, mit denen ein Sicherheitsteam täglich konfrontiert wird.
Wie oben erläutert, ist es auch wichtig, dass die Teams weiterhin eine Risikobewertungsmethode verbessern, die einzigartig für ihre Organisation ist. Die Verfeinerung dieses Prozesses wird nicht nur die Automatisierung besser informieren, sondern kann auch kontinuierlich den aktuellen Kontext außerhalb der Cybersecurity-Abteilung berücksichtigen, um geschäftskritische Schwachstellen schneller zu identifizieren und zu patchen.
Die Priorisierung von Patches muss jedoch auch über die Schwachstellen-Risikobewertung hinausgehen. IT- und Sicherheitsteams müssen auch die Kommunikations- und Partnerschaftspraktiken kontinuierlich verbessern, damit sie schnell Abhilfemaßnahmen teilen und Fortschritte bei den dringendsten Schwachstellen erzielen können.