Zero-Day-Schwachstellen: Wie können Sie sich auf das Unerwartete vorbereiten?

Warnungen globaler Cybersicherheitsbehörden haben gezeigt, dass Schwachstellen häufig als Zero-Day-Angriffe ausgenutzt werden. Wie können Sie angesichts eines derart unvorhersehbaren Angriffs sicher sein, dass Sie über ein angemessenes Schutzniveau verfügen und ob vorhandene Frameworks ausreichen? 

Die Zero-Day-Bedrohung verstehen

Es ist fast zehn Jahre her, dass der Cybersicherheitsredner und -forscher „The Grugq“ angegeben„Geben Sie einem Mann einen Zero-Day-Angriff, und er hat einen Tag lang Zugriff. Bringen Sie einem Mann das Phishing bei, und er hat ein Leben lang Zugriff.“

Diese Linie kam in der Mitte eines Jahrzehnts, das mit der Stuxnet-Virus und nutzte mehrere Zero-Day-Schwachstellen. Dies führte zu einer Angst vor diesen unbekannten Schwachstellen, die Angreifer für einen einmaligen Angriff auf Infrastruktur oder Software nutzen und auf die man sich scheinbar nicht vorbereiten konnte.

Bei einer Zero-Day-Sicherheitslücke ist kein Patch verfügbar und der Softwareanbieter weiß oft nichts von der Schwachstelle. Sobald die Schwachstelle jedoch ausgenutzt wird, ist sie bekannt und kann gepatcht werden, sodass der Angreifer nur eine Chance hat, sie auszunutzen.

Die Entwicklung von Zero-Day-Angriffen

Da die Angriffe Ende der 2010er Jahre weniger ausgefeilt waren und Ransomware, Credential-Stuffing-Angriffe und Phishing-Versuche häufiger zum Einsatz kamen, könnte man meinen, das Zeitalter der Zero-Day-Angriffe sei vorbei.

Es ist jedoch nicht an der Zeit, Zero-Day-Schwachstellen abzutun. Statistiken zeigen, dass im Jahr 97 2023 Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt wurden, über 50 Prozent mehr als im Jahr 2022. Es war ein guter Zeitpunkt für die nationalen Cybersicherheitsbehörden, eine Warnung ausgeben über ausgenutzte Zero-Day-Angriffe.

Im November hat das britische National Cyber ​​Security Centre (NCSC) – gemeinsam mit Behörden aus Australien, Kanada, Neuseeland und den USA – hat eine Liste geteilt der 15 am häufigsten ausgenutzten Schwachstellen im Jahr 2023.

Warum Zero-Day-Schwachstellen immer noch wichtig sind

Im Jahr 2023 wurde die Mehrheit dieser Schwachstellen zunächst als Zero-Day-Schwachstellen ausgenutzt. Das ist ein deutlicher Anstieg gegenüber 2022, als weniger als die Hälfte der größten Schwachstellen frühzeitig ausgenutzt wurden.

Stefan Tanase, ein Cyber-Intelligence-Experte beim CSIS, sagt: „Zero-Days sind nicht mehr nur Spionagewerkzeuge; sie befeuern groß angelegte Cyberkriminalität.“ Er nennt den Exploit von Zero-Days in Cleo-Dateiübertragungslösungen Ein aktuelles Beispiel hierfür ist der Angriff der Clop-Ransomware-Bande, die in Unternehmensnetzwerke eindringt und Daten stiehlt.

Was können Unternehmen zum Schutz vor Zero-Day-Angriffen tun?

Wir wissen also, wo das Problem liegt, und wie können wir es lösen? Die NCSC-Empfehlung fordert die Verteidiger von Unternehmensnetzwerken dringend auf, bei ihren Schwachstellenmanagementprozessen wachsam zu bleiben, alle Sicherheitsupdates unverzüglich anzuwenden und sicherzustellen, dass sie alle Assets in ihren Anlagen identifiziert haben.

Ollie Whitehouse, NCSC-Cheftechnologiebeauftragter, erklärte, dass Unternehmen zur Reduzierung des Risikos einer Kompromittierung „an der Front bleiben“ sollten, indem sie Patches umgehend anwenden, auf Produkten bestehen, die von Grund auf sicher sind, und beim Schwachstellenmanagement wachsam sind.

Daher erfordert die Abwehr eines Angriffs, bei dem ein Zero-Day-Angriff zum Einsatz kommt, ein zuverlässiges Governance-Framework, das diese Schutzfaktoren kombiniert. Wenn Sie von Ihrer Risikomanagement-Haltung überzeugt sind, können Sie dann sicher sein, einen solchen Angriff zu überleben?

Die Rolle von ISO 27001 im Kampf gegen Zero-Day-Risiken

ISO 27001 bietet die Möglichkeit, Ihr Sicherheits- und Belastbarkeitsniveau zu gewährleisten. Anhang A. 12.6, „Management technischer Schwachstellen“, besagt, dass Informationen zu technologischen Schwachstellen der verwendeten Informationssysteme umgehend eingeholt werden sollten, um die Gefährdung der Organisation durch solche Schwachstellen zu bewerten. Das Unternehmen sollte auch Maßnahmen ergreifen, um dieses Risiko zu mindern.

Zwar kann ISO 27001 die Ausnutzung von Zero-Day-Schwachstellen nicht vorhersagen oder einen Angriff über diese Schwachstellen verhindern, doch Tanase gibt an, dass sein umfassender Ansatz zum Risikomanagement und zur Sicherheitsvorsorge Organisationen besser dafür rüstet, den Herausforderungen durch diese unbekannten Bedrohungen standzuhalten.

Wie ISO 27001 zur Stärkung der Cyber-Resilienz beiträgt

ISO 27001 bietet Ihnen die Grundlage für Risikomanagement und Sicherheitsprozesse, die Sie auf die schwerwiegendsten Angriffe vorbereiten sollten. Andrew Rose, ehemaliger CISO und Analyst und jetzt Chief Security Officer von SoSafe, hat 27001 in drei Organisationen implementiert und sagt: „Es garantiert nicht, dass Sie sicher sind, aber es garantiert, dass Sie über die richtigen Prozesse verfügen, um sicher zu sein.“

Rose nennt es „eine kontinuierliche Verbesserungsmaschine“ und sagt, dass es in einer Schleife arbeitet, in der man nach Schwachstellen sucht, Bedrohungsinformationen sammelt, diese in ein Risikoregister einträgt und dieses Risikoregister verwendet, um einen Sicherheitsverbesserungsplan zu erstellen. Anschließend legt man diesen der Geschäftsleitung vor und ergreift Maßnahmen, um die Dinge zu beheben oder die Risiken zu akzeptieren.

Er sagt: „Es beinhaltet alle wichtigen Governance-Maßnahmen, die man braucht, um Sicherheit zu gewährleisten oder Kontrollen durchzuführen, sowie die Risikobewertung und Risikoanalyse. All diese Dinge sind vorhanden, es ist also ein hervorragendes Modell, auf das man aufbauen kann.“

Die beste Möglichkeit, um sicherzustellen, dass Sie optimal vorbereitet sind, besteht darin, die Richtlinien der ISO 27001 zu befolgen und mit einem Prüfer wie ISMS zusammenzuarbeiten, um sicherzustellen, dass die Lücken geschlossen werden und Ihre Prozesse einwandfrei sind.

Bereiten Sie Ihr Unternehmen auf den nächsten Zero-Day-Angriff vor

Christian Toon, Gründer und leitender Sicherheitsstratege bei Alvearium Associates, sagte, ISO 27001 sei ein Rahmenwerk zum Aufbau Ihres Sicherheitsmanagementsystems und könne als Leitfaden verwendet werden.

„Sie können sich an den Standard halten und die Teile auswählen, die Sie tun möchten“, sagte er. „Es geht darum, zu definieren, was innerhalb dieses Standards für Ihr Unternehmen richtig ist.“

Gibt es ein Element der ISO 27001-Konformität, das beim Umgang mit Zero-Day-Angriffen helfen kann? Toon sagt, dass die Abwehr eines ausgenutzten Zero-Day-Angriffs ein Glücksspiel ist. Ein Schritt muss jedoch darin bestehen, die Organisation hinter die Compliance-Initiative zu stellen.

Er sagt, wenn ein Unternehmen in der Vergangenheit nie größere Cyberprobleme hatte und „die größten Probleme wahrscheinlich ein paar Kontoübernahmen waren“, dann wird die Vorbereitung auf ein „großes“ Problem – wie das Patchen einer Zero-Day-Sicherheitslücke – dem Unternehmen klar machen, dass es mehr tun muss.

Laut Toon führt dies dazu, dass Unternehmen mehr in Compliance und Belastbarkeit investieren, und Rahmenwerke wie ISO 27001 sind Teil davon, dass „Organisationen das Risiko tragen“. Er sagt: „Sie sehen es ganz gerne als eine Art Compliance-Sache auf niedriger Ebene“, und das führt zu Investitionen.

Tanase sagte, dass ein Teil der ISO 27001 von Unternehmen verlangt, regelmäßige Risikobewertungen durchzuführen. Dazu gehört auch die Identifizierung von Schwachstellen – auch unbekannten oder neu auftretenden – und die Implementierung von Kontrollen zur Reduzierung des Risikos.

„Der Standard schreibt robuste Pläne für die Reaktion auf Vorfälle und die Geschäftskontinuität vor“, sagte er. „Diese Prozesse stellen sicher, dass die Organisation bei der Ausnutzung einer Zero-Day-Sicherheitslücke schnell reagieren, den Angriff eindämmen und den Schaden minimieren kann.“

Das ISO 27001-Framework enthält Empfehlungen, die ein Unternehmen proaktiv handeln lassen. Am besten ist es, auf einen Vorfall vorbereitet zu sein, zu wissen, welche Software wo läuft, und die Governance fest im Griff zu haben.