Unternehmen benötigen klare Kennzahlen, um Schwachstellen in Software und Hardware vorherzusagen und schnell darauf zu reagieren. Die Priorisierung der Schwachstellen, die am anfälligsten für aktive Ausnutzung sind, ist ein Kernelement des Managements der Cybersicherheitsrisiken der Nation.
Das NIST-Sicherheitspapier (CSWP) 41, Wahrscheinlich ausgenutzte Schwachstellen: Metrik zur Schätzung der Wahrscheinlichkeit der Ausnutzung von Schwachstellen, hilft Unternehmen dabei, aktiv ausgenutzte Schwachstellen zu identifizieren und nach dem Patchen zu priorisieren. Diese Arbeit schlägt eine Metrik vor, die auf von der Community bereitgestellten Wahrscheinlichkeiten basiert, um die erwartete Ausnutzung von Produktschwachstellen abzuschätzen. Sie beschreibt diese Berechnung und wie die Ergebnisse zur Verbesserung der Sicherheit und der Priorisierung genutzt werden können. Die in diesem Papier vorgestellten Wahrscheinlichkeitsberechnungen helfen auch dabei, Verbesserungsmöglichkeiten in gängigen Systemen zu identifizieren, die zur Beschreibung von Aktivitäten zur Ausnutzung von Schwachstellen verwendet werden. Diese Arbeit wird solche Systeme und die erforderlichen Abhilfemaßnahmen verbessern, um nationale Cybersicherheitsrisiken zu verringern.
Diese Arbeit präsentiert einen Vorschlag für eine Sicherheitsmetrik zur Bestimmung der Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wurde. Nur ein kleiner Teil der Zehntausenden von Software- und Hardware-Schwachstellen, die jedes Jahr veröffentlicht werden, wird tatsächlich ausgenutzt. Für die Effizienz und Kosteneffizienz der Maßnahmen zur Behebung von Schwachstellen in Unternehmen ist es wichtig, vorherzusagen, welche Schwachstellen ausgenutzt werden. Derzeit stützen sich solche Maßnahmen auf das Exploit Prediction Scoring System (EPSS), dessen Werte bekanntermaßen ungenau sind, und auf Listen bekannter ausgenutzter Schwachstellen (KEV), die möglicherweise nicht vollständig sind. Die vorgeschlagene Wahrscheinlichkeitsmetrik könnte das EPSS (durch Korrektur einiger Ungenauigkeiten) und die KEV-Listen (durch Messung der Vollständigkeit) ergänzen. Allerdings ist eine Zusammenarbeit mit der Industrie erforderlich, um die notwendigen Leistungsmessungen durchzuführen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
OneClik: Neue APT-Kampagne nimmt Energiebranche ins Visier
XSS-Schwachstellen in Palo Altos GlobalProtect VPN: XBOWs KI-System deckt Sicherheitslücken auf
Cyber-Eskalation im Nahen Osten: Von Hacktivismus zu ausgeklügelten Bedrohungsoperationen
„Echo Chamber“: Neue Angriffstechnik umgeht KI-Sicherheitsmechanismen mit subtiler Manipulation
KI-Modelle mit Selbsterhaltungstrieb? Experimente zeigen bedenkliches Verhalten
Studien
Studie von Bundesdruckerei und Possible zu Fachverfahren: Wie kann KI in Verwaltungsprozessen effektiv unterstützen?
Gigamon Deep Observability: Neue KI-Funktionen setzen höhere Sicherheits- und Sichtbarkeitsstandards
Neue Studie: Sind Sie auf die sich wandelnde Bedrohungslandschaft für die Cybersicherheit von SAP vorbereitet?
Cybersicherheit bleibt auf der Strecke: Schutzverhalten der Bevölkerung nimmt ab
Quantenkommunikation: Chancen, Risiken und Einsatzfelder im Überblick
Whitepaper
Neue Leitlinien zur Reduzierung von Speicher-Sicherheitslücken veröffentlicht
OWASP veröffentlicht Leitfaden für sichere KI-Tests
BSI-leitet G7-Arbeitsgruppe: Gemeinsames Konzept für eine „SBOM for AI“ veröffentlicht
NIST stellt 19 Modelle für Zero-Trust-Architekturen vor
