Ist Twitter das beste Tool für das Vulnerability Management? Studie zeigt, dass Twitter-Erwähnungen CVSS um das Zweifache übertreffen

| |

Twitter wird manchmal vorgeworfen, Zeitverschwendung zu sein, aber ein neuer Bericht weist darauf hin, dass es als Schwachstellen-Management-Tool von großem Wert sein könnte.

EIN lernen von der Cisco-Tochter Kenna Security stellt fest, dass Twitter-Erwähnungen doppelt so gut sind wie das Common Vulnerability Scoring System (CVSS), wenn es darum geht, die potenzielle Ausnutzbarkeit einer Organisation zu messen. Dies geschieht inmitten eines allgemeinen Branchentrends weg von CVSS-Scores als Standard für diese Art der Bewertung, ein Ansatz, den in letzter Zeit sogar die Cybersecurity and Infrastructure Security Agency (CISA) verfolgt.

Die Simulation zeigt, dass CVSS als Indikator für das Schwachstellenmanagement hinterherhinkt

CVSS ist ein seit langem verwendeter offener Industriestandard (erstmals herausgegeben im Jahr 2005), der weit verbreitet ist, um Schwachstellen, die während Scans gefunden werden, Schweregradbewertungen zuzuweisen, was wiederum Organisationen ermöglicht, diese zu priorisieren.

Während dieses robuste Vulnerability-Management-System im Jahr 2019 ein relativ neues Update erhielt, wurde in den letzten zwei Jahren viel darüber gesprochen, sich davon zu entfernen, da die Punkte aufgrund einer anfänglichen Bewertung vergeben werden, die sich im Laufe der Zeit oft als ungenau herausstellt. Es gibt keinen Mechanismus, um diese anfänglichen Bewertungen in den Wochen und Monaten nach der ersten Entdeckung regelmäßig neu zu bewerten, wenn sich Schwachstellen als schwerwiegender erweisen können, als ursprünglich festgestellt wurde.

Kennas jährlicher Prioritization to Prediction (P2P)-Bericht, der achte seiner Art, liefert weitere Beweise für die zunehmende Anklage gegen CVSS. Der Umfang des Berichts geht weit über die bloße Untersuchung von CVSS hinaus; Es soll genau bestimmt werden, wie realistisch es ist, die Ausnutzbarkeit/Sanierungsfähigkeit einer gesamten Organisation mit angemessener Genauigkeit zu bewerten. Ein Teil davon beinhaltet das Testen häufig verwendeter Ansätze für das Schwachstellenmanagement, und hier erhalten wir Nuggets wie Twitter erwähnt, dass CVSS als Warnindikator auf einer 2:1-Basis übertroffen wird.

Eines der zentralen Probleme bei der weiteren Verwendung von CVSS ist, dass es einfach nicht für den Umfang oder das Tempo des Schwachstellenmanagements in der modernen Bedrohungslandschaft konzipiert wurde. Mitte der 00er Jahre war das noch in Ordnung, als es Hunderte neuer Schwachstellen gab und nur wenige als „hohes Risiko“ eingestuft wurden. Nicht so sehr für 2021, wo die Zahl der nie zuvor beobachteten Schwachstellen auf etwa 12.000 pro Jahr angestiegen ist und bekannte Risiken bei mehreren Tausend zusätzlich liegen.

Es gibt auch mehr Lücken auszunutzen als je zuvor. Der Bericht stellt fest, dass 87 % der Unternehmen in mindestens einem Viertel ihrer aktiven Assets offene Schwachstellen aufweisen und 41 % von ihnen Schwachstellen in drei von vier Assets aufweisen. 75 % der Unternehmen verfügen über mehr als 1 von 4 Assets, die problemlos genutzt werden können, und bei 19 % der Unternehmen sind es 3 von 4 dieser Assets. Und die Assets selbst sind weithin anfällig, wobei 95 % davon ausgehen, dass mindestens eines irgendwo im Code lauert.

Und wie ausnutzbar sind die Einträge auf der mittlerweile umfangreichen CVE-Liste? Die meisten haben eine extrem geringe (weniger als 1 %) Chance auf Ausbeutung. Aber 32,5 % haben jetzt eine Erwartung von bis zu 10 %, ausgenutzt zu werden, und 4,9 % haben eine Wahrscheinlichkeit von über 10 %. Bereinigt um die Software, die Unternehmen am häufigsten verwenden, steigen die Schwachstellen, die mit einer Wahrscheinlichkeit von über 10 % ausgenutzt werden, auf 11,6 % der Präsenz in diesen Systemen.

Twitter-Erwähnungen erweisen sich als praktikable Schwachstellen-Management-Komponente

Von den in diesem Bericht untersuchten realistischen Schwachstellen-Management-Strategien wurde Twitter nur noch von der Verfügbarkeit des Exploit-Codes und der Überwachung aller Assets (ein Prävalenzansatz) erwähnt. Die Priorisierung der Schwachstellen mit den schnellsten Behebungsraten erwies sich auch als etwas überlegene Strategie gegenüber der Verwendung von CVSS-Scores. CVSS war auch nur geringfügig besser als ein zufälliger Ansatz und beunruhigend nahe an der Parität mit Nichtstun.

Neben einer optimalen Strategie möchten Unternehmen auch die Sanierungskapazität erhöhen. Der Bericht testete, wie sich das Hinzufügen von Kapazität auf jede Strategie auswirkte; Unabhängig davon blieben beide in relativ derselben Rangfolge, wobei CVSS Twitter mit mittlerer Kapazität nur dann überholte, wenn es mit sehr hoher Kapazität entsaftet wurde. Die Überwachung von Twitter mit hoher Kapazität erwies sich auch als überlegen gegenüber einem Prävalenzansatz mit geringerer Kapazität.

Ed Bellis, Mitbegründer und CTO von Kenna, hatte die folgenden Vorschläge für Organisationen, die die Behebungskapazität erhöhen und gleichzeitig ihre Strategiewahl verbessern möchten: „Um die Behebungskapazität zu erhöhen, sollten Organisationen spezifische Patch-Fristen oder SLAs festlegen und separate Teams für die Suche und Behebung haben Sicherheitslücken und verwenden Sie so weit wie möglich automatisierte Patching-Tools. Wir haben dies in unserem ausführlicher untersucht Priorisierung für den Prediction Volume 4-Bericht.“

Um die Ausnutzbarkeit von Unternehmen zu minimieren, ist die Priorisierung von #Schwachstellen mit Exploit-Code 11-mal effektiver als die Verwendung von CVSS-Scores: und Twitter-Erwähnungen sind doppelt so effektiv. #Cybersicherheit #Daten respektierenZum Twittern klicken

Der diesjährige Bericht schließt mit einer Vorhersage, dass das nächste Jahr einen stärkeren Schwerpunkt auf nichts anderes als die Vorhersage im Schwachstellenmanagement legen wird; Tools zur Analyse der erwarteten Auswirkungen von Schwachstellen werden immer wichtiger, da diese Gesamtzahlen immer weiter außer Kontrolle geraten. In der Zwischenzeit wird der Abschiedsratschlag aus den aktuellen Richtlinien von CISA kopiert: Richten Sie einen Prozess für die fortlaufende Behebung ausgenutzter Schwachstellen ein, beheben Sie Schwachstellen gemäß den von CISA festgelegten Zeitplänen und melden Sie den Status ausgenutzter Schwachstellen gemäß Continuous Diagnostics and Mitigation ( CDM) Anforderungen.

Previous

WOW Awards: Gute Corporate Citizens sind beliebt

Der Biograf von Mac Miller sagt, die Beziehungserzählung von Ariana Grande sei „nicht zu 100 Prozent korrekt“

Next

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.