Manche Schwachstellen sind verzeihlich, schlechtes Patch-Management jedoch nicht
Inhaltsverzeichnis:
Zu Beginn des Jahres hat das britische National Cyber Security Centre (NCSC) forderte die Softwareindustrie auf Die Regierung muss sich zusammenreißen. Zu viele „grundlegende Schwachstellen“ schlüpften in den Code und machten die digitale Welt zu einem gefährlicheren Ort, argumentierte sie. Der Plan ist, Softwareanbieter zu zwingen, ihre Prozesse und Tools zu verbessern, um diese sogenannten „unverzeihlichen“ Schwachstellen ein für alle Mal zu beseitigen.
Obwohl der Plan der Agentur ehrgeizig ist, wird es einige Zeit dauern, bis er Früchte trägt – wenn überhaupt. In der Zwischenzeit müssen Unternehmen ihre Patch-Verarbeitung verbessern. Hier kann ISO 27001 helfen, indem es die Transparenz der Assets verbessert und sicherstellt, dass Software-Updates nach Risiko priorisiert werden.
Das Problem mit CVEs
Software aß die Welt vor vielen Jahren. Und heute gibt es mehr davon als je zuvor – sie betreiben kritische Infrastrukturen, ermöglichen uns nahtloses Arbeiten und Kommunizieren und bieten unzählige Möglichkeiten zur Unterhaltung. Mit dem Aufkommen von KI-Agenten wird sich Software immer stärker in die kritischen Prozesse integrieren, auf die sich Unternehmen, ihre Mitarbeiter und ihre Kunden verlassen, um die Welt am Laufen zu halten.
Da diese Software jedoch (weitgehend) von Menschen entwickelt wird, ist sie fehleranfällig. Und die Schwachstellen, die sich aus diesen Programmierfehlern ergeben, sind ein wichtiger Mechanismus für Bedrohungsakteure, um in Netzwerke einzudringen und ihre Ziele zu erreichen. Die Herausforderung für Netzwerkverteidiger besteht darin, dass in den letzten acht Jahren eine Rekordzahl von Schwachstellen (CVEs) veröffentlicht wurde. Die Zahl für 2024 lag bei über 40,000. Das sind eine Menge Sicherheitsupdates, die angewendet werden müssen.
Solange das Volumen und die Komplexität von Software weiter zunehmen und Forscher und Bedrohungsakteure Anreize erhalten, Schwachstellen zu finden, wird die Zahl der jährlichen CVEs weiter steigen. Das bedeutet, dass Bedrohungsakteure mehr Schwachstellen ausnutzen können.
Laut eine Schätzung, Im vergangenen Jahr wurden 768 CVEs öffentlich als ausgenutzt gemeldet. Und obwohl 24 % davon Zero-Day-Angriffe waren, waren die meisten davon nicht betroffen. Tatsächlich helfen KI-Tools einigen Bedrohungsakteuren Schwachstellen schneller ausnutzen als jemals zuvor, Beweise deuten darauf hin dass Legacy-Bugs weiterhin ein großes Problem darstellen. Es zeigt, dass 40 % der im Jahr 2024 ausgenutzten Schwachstellen aus dem Jahr 2020 oder früher stammten und 10 % aus dem Jahr 2016 oder früher.
Was möchte das NCSC tun?
In diesem Zusammenhang ist der Plan des NCSC sinnvoll. Jahresrückblick 2024 beklagt die Tatsache, dass Softwareanbieter schlichtweg keinen Anreiz haben, sicherere Produkte zu produzieren, und argumentiert, dass der Schwerpunkt zu oft auf neuen Funktionen und der Markteinführungszeit liege.
Produkte und Dienstleistungen werden von kommerziellen Unternehmen in reifen Märkten angeboten, die – verständlicherweise – Wachstum und Gewinn über die Sicherheit und Belastbarkeit ihrer Lösungen stellen. Am stärksten betroffen sind zwangsläufig kleine und mittlere Unternehmen (KMU), Wohltätigkeitsorganisationen, Bildungseinrichtungen und der öffentliche Sektor im Allgemeinen, da für die meisten Organisationen Kostenüberlegungen der Hauptgrund sind, heißt es in der Mitteilung.
„Einfach ausgedrückt: Wenn die Mehrheit der Kunden Preis und Funktionen über ‚Sicherheit‘ stellt, werden sich die Anbieter darauf konzentrieren, die Markteinführungszeit zu verkürzen, und zwar auf Kosten der Entwicklung von Produkten, die die Sicherheit und Widerstandsfähigkeit unserer digitalen Welt verbessern.“
Stattdessen hofft das NCSC, Eine Welt, in der Software „sicher, privat, robust und für alle zugänglich“ ist. Dazu müssen Anbieter und Entwickler durch verbesserte Entwicklungsrahmen und die Einführung sicherer Programmierkonzepte leichter mit „Top-Level-Missing-Maßnahmen“ umgehen können. Der erste Schritt besteht darin, Forschern zu helfen, zu beurteilen, ob neue Schwachstellen „verzeihlich“ oder „unverzeihlich“ sind – und so Impulse für Veränderungen zu setzen. Doch nicht alle sind davon überzeugt.
„Der Plan des NCSC hat Potenzial, aber sein Erfolg hängt von mehreren Faktoren ab, wie der Akzeptanz in der Branche und der Umsetzung durch Softwareanbieter“, warnt Javvad Malik, leitender Sicherheitsexperte bei KnowBe4. „Er hängt auch vom Bewusstsein und der Nachfrage der Verbraucher nach sichereren Produkten sowie von der regulatorischen Unterstützung ab.“
Es stimmt auch, dass selbst wenn der Plan des NCSC funktionieren würde, es immer noch viele verzeihbare Schwachstellen gäbe, die den CISOs schlaflose Nächte bereiten würden. Was kann also getan werden, um die Auswirkungen von CVEs zu mildern?
Ein standardbasierter Ansatz
Malik schlägt vor, dass der Best-Practice-Sicherheitsstandard ISO 27001 ein nützlicher Ansatz ist.
„Organisationen, die sich an ISO27001 orientieren, verfügen über eine robustere Dokumentation und können das Schwachstellenmanagement an den allgemeinen Sicherheitszielen ausrichten“, sagt er gegenüber ISMS.online.
Dray Agha, Senior Manager für Sicherheitsoperationen bei Huntress, argumentiert, dass der Standard einen „klaren Rahmen“ sowohl für das Schwachstellen- als auch für das Patch-Management biete.
„Es hilft Unternehmen, Bedrohungen einen Schritt voraus zu sein, indem es regelmäßige Sicherheitskontrollen durchführt, risikoreiche Schwachstellen priorisiert und zeitnahe Updates sicherstellt“, erklärt er gegenüber ISMS.online. „Anstatt auf Angriffe zu reagieren, können Unternehmen, die ISO 27001 nutzen, proaktiv vorgehen und ihr Risiko reduzieren, bevor Hacker überhaupt zuschlagen. So verhindern sie, dass Cyberkriminelle in das Unternehmensnetzwerk eindringen können, indem sie die Umgebung patchen und härten.“
Agha argumentiert jedoch, dass Patchen allein nicht ausreicht.
Unternehmen können sich durch Netzwerksegmentierung und Web Application Firewalls (WAFs) noch besser gegen Cyberbedrohungen schützen. Diese Maßnahmen dienen als zusätzliche Schutzebenen und schützen Systeme vor Angriffen, selbst wenn Patches erst mit Verzögerung verfügbar sind“, fährt er fort. „Der Einsatz von Zero-Trust-Sicherheitsmodellen, Managed Detection and Response-Systemen und Sandboxing kann den Schaden im Falle eines Angriffs zusätzlich begrenzen.“
Malik von KnowBe4 stimmt dem zu und fügt hinzu, dass virtuelles Patchen, Endpunkterkennung und -reaktion gute Optionen für eine stärkere Abwehr sind.
„Unternehmen können außerdem Penetrationstests an Software und Geräten durchführen, bevor diese in Produktionsumgebungen eingesetzt werden, und danach regelmäßig. Threat Intelligence kann genutzt werden, um Einblicke in neu auftretende Bedrohungen und Schwachstellen zu gewinnen“, sagt er.
Es gibt viele verschiedene Methoden und Ansätze. Es gab nie einen Mangel an Optionen, daher sollten Unternehmen prüfen, was für ihr individuelles Risikoprofil und ihre Infrastruktur am besten geeignet ist.
