Was kann gegen die Krise der nationalen Schwachstellendatenbank getan werden?
Inhaltsverzeichnis:
Das National Institute of Standards and Technology (NIST) steckt in einer Zwickmühle, die schwerwiegende Auswirkungen auf Cybersicherheitsteams weltweit hat. Die National Vulnerability Database (NVD), die Anlaufstelle für häufige Schwachstellen und Gefährdungen (CVEs), gerät unter der Last eines beispiellosen Rückstands ins Wanken. Bis April waren nur 4,000 von fast 11,000 CVEs verarbeitet worden, sodass unglaubliche 7,000 Schwachstellen in der Schwebe blieben. Dieser Rückstand ist nicht nur ein kleiner Schluckauf, sondern ein eklatantes Sicherheitsrisiko.
Wie können Sicherheitsteams angesichts dieser wachsenden Krise sicherstellen, dass sie potenziellen Bedrohungen immer einen Schritt voraus sind?
Aktuelle Eindämmungsbemühungen des NIST
Neatsun Ziv, CEO von Ox Security, bringt es unverblümt auf den Punkt.
„Der Rückstand an nicht verarbeiteten CVEs beim NVD stellt erhebliche Risiken für Organisationen dar, da er potenzielle blinde Flecken schafft und Reaktionen auf neue Bedrohungen verzögert“, sagt er gegenüber ISMS.online. „Dieser Rückstand kommt böswilligen Akteuren zugute und erhöht die Risiken in der Lieferkette in kritischen Sektoren.“
Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4, unterstreicht das Ausmaß der Herausforderung.
„Laut NVD gab es im vergangenen Jahr über 33,000 Schwachstellen. Das bedeutet täglich über 90 neue Software- und Firmware-Schwachstellen. „Die Dokumentation, Überprüfung und Einstufung dieser Bedrohungen ist eine immense Aufgabe“, sagt er gegenüber ISMS.online.
Grimes fügt hinzu, dass „33 % aller erfolgreichen Datenschutzverletzungen nur aufgrund ungepatchter Software- und Firmware-Schwachstellen möglich sind.“
NIST hat mehrere Maßnahmen eingeleitet, um das Problem zu mildern und die langfristige Funktionalität des NVD zu verbessern. Eine bemerkenswerte Maßnahme ist die Bildung eines NVD-Konsortium, dessen Ziel es ist, Industrie, Regierung und andere Interessenvertreter zusammenzubringen, um die Datenbank gemeinsam zu verwalten und zu verbessern. Dieses Konsortium soll dazu beitragen, die Arbeitslast effektiver zu verteilen und umfassenderes Fachwissen in den Prozess der Schwachstellenanalyse zu integrieren.
Ziv von Ox Security äußert sich hinsichtlich dieser Bemühungen optimistisch.
„Die Initiative von NIST, ein neues Konsortium zu bilden, birgt erhebliches Potenzial für langfristige Verbesserungen“, argumentiert er. „Bei effektiver Umsetzung werden diese Programme wahrscheinlich zu schnelleren Verarbeitungszeiten, verbesserter Datenqualität und zeitnaheren Aktualisierungen führen, was der Cybersicherheitsgemeinschaft großen Nutzen bringt.“
Darüber hinaus hat die Cybersecurity and Infrastructure Security Agency (CISA) ein „Vulnrichment“-Programm eingeführt, das CVE-Daten mit detaillierteren und umsetzbaren Informationen anreichern soll. Ziel ist es, die Qualität und Nutzbarkeit von Schwachstellendaten zu verbessern und sie für Sicherheitsteams vorteilhafter zu machen. Obwohl diese Initiativen vielversprechend sind, bieten sie den Organisationen, die derzeit mit dem Rückstand zu kämpfen haben, keine unmittelbare Entlastung.
Trotz dieser Bemühungen geben die unmittelbaren Auswirkungen des Rückstands weiterhin Anlass zu großer Sorge. Sicherheitsteams müssen diese Herausforderung meistern, indem sie alternative Wege finden, um über neue Schwachstellen auf dem Laufenden zu bleiben und sicherzustellen, dass ihre Patch-Management-Prozesse effektiv bleiben.
Die Herausforderung für Sicherheitsteams
Der Rückstand im NVD stellt Sicherheitsteams vor erhebliche Herausforderungen, da sie zum Schutz ihrer Systeme auf zeitnahe und genaue CVE-Daten angewiesen sind. Ohne die aktuellsten Informationen aus dem NVD sind sich Organisationen neu entdeckter Schwachstellen möglicherweise nicht bewusst und sind somit potenziellen Angriffen ausgesetzt. Besonders problematisch ist die Situation für kleinere Organisationen, denen die Ressourcen fehlen, um Schwachstellen unabhängig über mehrere Quellen hinweg zu verfolgen.
„Da nationalstaatliche Akteure und Ransomware-Banden diese Verzögerungen ausnutzen, ist es wichtig, den Ernst der Lage und die anhaltende Bedrohungslandschaft zu verstehen“, warnt Ziv.
Sicherheitsteams stehen nun vor der gewaltigen Aufgabe, manuell nach Schwachstelleninformationen einzelner Anbieter zu suchen. Dieser Ansatz ist arbeitsintensiv und fehleranfällig, da er eine ständige Überwachung mehrerer Quellen erfordert. Darüber hinaus kann das Fehlen standardisierter Schweregradbewertungen zu einer inkonsistenten Risikobewertung führen, was den Entscheidungsprozess darüber, welche Schwachstellen für das Patchen priorisiert werden sollen, erschwert.
Experten auf diesem Gebiet haben die dringende Notwendigkeit einer zentralen, vertrauenswürdigen Quelle für Schwachstelleninformationen hervorgehoben. Jerry Gamblin, leitender Ingenieur für Bedrohungserkennung und -reaktion bei Cisco Vulnerability Management, betont dass es zwar alternative Quellen wie den CISA Known Exploited Vulnerabilities (KEV)-Katalog gibt, diese jedoch nicht umfassend sind und sich hauptsächlich auf Schwachstellen konzentrieren, die bereits aktiv ausgenutzt werden.
Minderungsstrategien für Sicherheitsteams
Um die Auswirkungen des NVD-Rückstands abzumildern, können Sicherheitsteams verschiedene Strategien anwenden:
Alternative Datenbanken: Nutzen Sie andere zuverlässige Quellen für CVE-Informationen. Der KEV-Katalog der CISA ist zwar nicht umfassend, kann aber wichtige Einblicke in aktiv ausgenutzte Schwachstellen liefern.
Automatisierte Tools: Implementieren Sie automatisierte Schwachstellenmanagement-Tools, die nach Schwachstellen suchen und Echtzeit-Updates bereitstellen können. Diese Tools können dazu beitragen, die durch die NVD entstandene Lücke zu schließen, indem sie kontinuierliche Überwachungs- und Warnfunktionen bieten. Ziv empfiehlt automatisierte Tools wie Schwachstellenmanagement und Application Security Posture Management (ASPM).
Bedrohungsaufklärungsdienste: Abonnieren Sie Threat Intelligence-Dienste, die aktuelle und kuratierte Informationen zu Schwachstellen bereitstellen. Diese Dienste bieten häufig kontextbezogenere Daten und helfen Sicherheitsteams, die Relevanz und die potenziellen Auswirkungen bestimmter Schwachstellen auf ihre Systeme zu verstehen.
Gemeinschaftsarbeit: Beteiligen Sie sich an Cybersicherheits-Communities und Foren, in denen Experten Erkenntnisse und Updates zu den neuesten Schwachstellen austauschen. Kollaborationsplattformen können eine wertvolle Ressource sein, um auf dem Laufenden zu bleiben und Best Practices auszutauschen.
Anpassung an CVE-Überlastung
Während die Initiativen des NIST, wie die Bildung eines Konsortiums und die Einführung des Vulnrichment-Programms, zukünftige Verbesserungen versprechen, bieten sie kaum unmittelbare Linderung.
Sicherheitsteams müssen daher proaktive Maßnahmen ergreifen, um die Auswirkungen dieses Rückstands abzumildern. Durch die Nutzung alternativer Datenbanken wie KEV von CISA, die Einführung automatisierter Schwachstellenmanagement-Tools, das Abonnieren von Echtzeit-Bedrohungsinformationsdiensten und die Zusammenarbeit mit Cybersicherheitsgemeinschaften können sie die Lücke schließen, die die NVD hinterlassen hat. Diese Strategien helfen nicht nur bei der Aufrechterhaltung eines effektiven Patch-Management-Programms, sondern sorgen auch für eine mehrschichtige und belastbare Sicherheitslage.
Der NVD-Rückstand ist eine deutliche Erinnerung daran, wie wichtig Flexibilität bei Cybersicherheitspraktiken ist. Auch im Angesicht von Widrigkeiten bleiben das kollektive Fachwissen und der Einfallsreichtum der Cybersicherheitsgemeinschaft ihr größtes Kapital. Durch Zusammenarbeit und Wissensaustausch können die durch den NVD-Rückstand entstandenen Herausforderungen bewältigt und mit dem Aufbau einer sichereren digitalen Welt begonnen werden.
