Bereits bekannt ausgenutzte Schwachstellen

Was sind bekanntlich ausgenutzte Schwachstellen? Bekanntlich ausgenutzte Schwachstellen (KEVs) sind Schwachstellen in Software, Hardware, Anwendungen oder Systemen, die von Angreifern aktiv ausgenutzt werden. KEVs stellen eine klare und gegenwärtige Gefahr dar, da sie Angreifern einen bewährten Weg bieten, um Zugang zu Systemen zu erhalten.

Merkmale bekannt ausgenutzter Schwachstellen

Die Cybersecurity Infrastructure Security Agency (CISA) führt einen öffentlichen Katalog von KEVs, um Organisationen dabei zu helfen, Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollen. Dieser Katalog bietet Sicherheitsexperten in Verbindung mit der National Vulnerability Database (NVD) einen umfassenden Überblick über diese potenziell kritischen Cyberrisiken. CISA klassifiziert KEVs anhand von drei Kriterien:

1. Verfolgt und gemeldet – Jede KEV hat eine eindeutige CVE-ID (Common Vulnerabilities and Exposures) für die standardisierte Verfolgung und Meldung innerhalb der Cybersicherheitsgemeinschaft.
2. Aktiv ausgenutzt – Es gibt nachweisbare Beweise dafür, dass Angreifer die Schwachstelle erfolgreich ausgenutzt haben (oder versucht haben, sie auszunutzen). Diese Beweise beinhalten in der Regel, dass Angreifer ohne Genehmigung bösartigen Code auf Zielsystemen ausführen. Der CISA-KEV-Katalog berücksichtigt sowohl erfolgreiche als auch versuchte Ausbeutung.
3. Patchbar oder abschwächbar – Es gibt eine Lösung für die Schwachstelle, z. B. einen Sicherheitspatch, der vom Softwareanbieter bereitgestellt wird. Diese Lösung kann die Schwachstelle entweder vollständig beheben oder ihre Auswirkungen abschwächen.

Ermittlung bekannter ausgenutzter Schwachstellen

Sicherheitsverantwortliche können bekannte ausgenutzte Schwachstellen (KEVs = Known Exploited Vulnerabilities) mithilfe der folgenden Mittel ermitteln:

• CISA KEV-Katalog – Der CISA-Katalog ist die Hauptquelle für bestätigte und aktiv ausgenutzte Schwachstellen. Sicherheitsteams können diesen Katalog regelmäßig überprüfen, um KEVs zu ermitteln, die für ihre Systeme relevant sind, und um Abhilfemaßnahmen zu priorisieren.
• Vulnerability Scanner – Sicherheitsverantwortliche können automatisierte Vulnerability Scanner verwenden, um ihre Systeme auf bekannte Schwachstellen zu analysieren. Diese Scanner vergleichen Systemkonfigurationen mit Schwachstellendatenbanken, einschließlich der NVD und des CISA KEV-Katalogs. Wenn der Scanner eine CVE-ID identifiziert, die mit einer KEV übereinstimmt, kennzeichnet er die Schwachstelle als dringend zu beheben.
• Sicherheits-Feeds und -Warnmeldungen – Viele Sicherheitsanbieter und -organisationen bieten Feeds mit Bedrohungsdaten und Warnmeldungen zu Schwachstellen an, die über neu entdeckte oder aktiv ausgenutzte Schwachstellen, einschließlich KEVs, informieren.
• Sicherheitshinweise von Anbietern – Software- und Hardwareanbieter spielen eine entscheidende Rolle bei der Identifizierung und Behebung von Schwachstellen. Sicherheitsverantwortliche sollten die Sicherheitshinweise von Anbietern aktiv auf Informationen über Schwachstellen überwachen, die sich auf ihre Produkte auswirken. In diesen Hinweisen wird häufig darauf hingewiesen, ob eine Schwachstelle aktiv ausgenutzt wird, was bei der Identifizierung von KEVs hilfreich ist.

Verwaltung und Minderung von bekannten ausgenutzten Schwachstellen

Unternehmen können bekannte ausgenutzte Schwachstellen (KEVs) mit einem mehrgleisigen Ansatz besser verwalten und mindern:

• Priorisierung: Sicherheitsteams nutzen den KEV-Katalog des CISA, um kritische Schwachstellen zu identifizieren und zu priorisieren. Zusätzlich zur Katalog-Einstufung von KEVs nach Risikostufe können Unternehmen die Priorisierung mithilfe von Risikomanagement-Plattformen von Drittanbietern weiter verfeinern.
• Patch-Management: DevOps und DevSecOps müssen Updates und Patches umgehend anwenden, insbesondere bei weit verbreiteter Software. Anbieter veröffentlichen häufig Patches, um Schwachstellen zu beheben, daher ist es wichtig, auf dem neuesten Stand zu bleiben.
• Korrekturmaßnahmen: IT-Teams sollten die im KEV-Katalog aufgeführten empfohlenen Maßnahmen umsetzen. Zu diesen Maßnahmen können das Patchen, das Aktualisieren von Software auf der Grundlage von Herstelleranweisungen oder sogar das Einstellen nicht unterstützter Software ohne verfügbare Patches gehören.
• Software-Lebenszyklus-Management: IT-Stakeholder müssen nicht verwendete oder veraltete Software entfernen. Da diese Programme keine Sicherheitsupdates erhalten, sind sie ein leichtes Ziel für Angreifer.
• Software-Stückliste (SBOM): Sicherheits- und DevOps-Teams können SBOMs nutzen, um die Softwarekomponenten in einem bestimmten System und den Ursprung jeder Komponente zu verstehen.
• Risikomanagement durch Dritte: Organisationen sollten strenge Risikomanagementpraktiken durch Dritte einführen. Dazu gehören Lösungen, die Warnmeldungen, eine klare Priorisierung von Risiken und konkrete Pläne zur Behebung von Schwachstellen, die in Netzwerken Dritter identifiziert wurden, bereitstellen.

KEVs und CTEM

Bekannte ausgenutzte Schwachstellen (KEVs = Known Exploited Vulnerabilities) und das kontinuierliche Bedrohungsmanagement (CTEM) sind eng miteinander verknüpft. KEVs stellen die unmittelbarsten Bedrohungen dar, da sie von Angreifern aktiv ausgenutzt werden. CTEM konzentriert sich auf die Identifizierung und Priorisierung dieser Schwachstellen mit hohem Risiko. So arbeiten sie zusammen:

• CTEM nutzt den KEV-Katalog: CTEM nutzt den KEV-Katalog des CISA als Hauptquelle, um aktiv ausgenutzte Schwachstellen in den Systemen einer Organisation zu ermitteln.
• Priorisierung für die Behebung: Im Gegensatz zum herkömmlichen Schwachstellenmanagement, bei dem die Priorisierung häufig auf der Grundlage des theoretischen Risikos erfolgt, priorisiert CTEM KEVs auf der Grundlage ihres Schweregrads und hilft Sicherheitsteams, sich zuerst auf die kritischsten Probleme zu konzentrieren.
• Schnellere Patches: Durch die Konzentration auf KEVs ermöglicht CTEM es Organisationen, Schwachstellen, die in der Praxis ausgenutzt werden, viel schneller zu beheben, wodurch das Angriffsfenster für Cyberkriminelle erheblich verkleinert wird.
• Geringeres Risiko: Dieser gezielte Ansatz für das Schwachstellenmanagement, der von CTEM angeboten wird und auf KEV-Daten basiert, hilft Organisationen, ihr gesamtes Cyberrisiko erheblich zu reduzieren.

CTEM nutzt reale Exploit-Daten (KEVs), um die kritischsten Bedrohungen zu priorisieren und zu bekämpfen, was zu einer effektiveren und effizienteren Cybersicherheits-strategie führt.

Wie ausgereift ist Ihr Programm in Bezug auf das Schwachstellenmanagement? Finden Sie heraus, wo Sie stehen

Um ein robustes Programm für bekannte ausgenutzte Schwachstellen (KEV) effektiv umzusetzen, sollten Organisationen ein Rahmenwerk für das Schwachstellenmanagement nutzen. Durch die Integration des KEV-Managements in das kontinuierliche Bedrohungs-Schwachstellen-Management (CTEM) können Organisationen Schwachstellen mit hohem Risiko systematisch identifizieren, priorisieren und mindern. Wir empfehlen die Verwendung unseres umfassenden Reifegradmodells, das vom Schwachstellenmanagement (VM) zum Gefährdungsmanagement (EM) übergeht. Dieser Ansatz trägt dazu bei, die Sicherheitslage einer Organisation zu verbessern und sicherzustellen, dass sie aktiv ausgenutzten Bedrohungen immer einen Schritt voraus ist und eine widerstandsfähige Verteidigung gegen Cyberangriffe aufrechterhält.

Quelle: XM Cyber-Glossar

---

Bild/Quelle: https://depositphotos.com/de/home.html