Wir brauchen eine Chance, um unsere Ziele im Bereich der Cybersicherheit zu erreichen. Je enger dieses Zeitfenster ist, desto schwieriger wird es, unsere Aufgaben im Bereich der Cybersicherheit zu erfüllen. Jüngste Berichte, die besagen, dass die Zeit bis zu einem Angriff immer kürzer wird, sind daher keine guten Nachrichten. 

In diesem Artikel erläutern wir, wie sich das Zeitfenster zwischen der Identifizierung von Schwachstellen und deren Ausnutzung verringert hat, was dies für die Cybersicherheit bedeutet und was Sie dagegen tun können.

Es gibt immer noch ein Fenster...

Es gibt viele Sicherheitslücken (Schwachstellen) in bestehendem Softwarecode, von denen niemand weiß - bis ein Forscher oder ein Bedrohungsakteur die Schwachstelle entdeckt. Es kann sogar ein Jahrzehnt dauern, bis eine Schwachstelle entdeckt wird, die im Verborgenen liegt, wie das Beispiel der Sudo-Schwachstelle zeigt, die im Juli 2011 in den Code eingebaut wurde aber erst im Jahr 2021 entdeckt und behoben wurde.

In den meisten Fällen wird eine Sicherheitslücke schon viel früher entdeckt, und anschließend dokumentiert und mit einem CVE versehen. Sobald die Schwachstelle dokumentiert ist, ist sie so gut wie offen. Ja, die Benutzer können sich nun schützen - aber die Bedrohungsakteure können die Schwachstelle in ungeschützten Systemen ausnutzen.

Zwischen der Entdeckung und Dokumentation einer Schwachstelle und dem Zeitpunkt, zu dem die ersten Bedrohungsakteure die Schwachstelle ausnutzen, besteht also ein Zeitunterschied. Sie könnte gleich Null sein - im Falle einer Zero-Day-Schwachstelle.

Oft dauert es etwas länger - von ein paar Tagen bis zu ein paar Wochen oder Monaten, je nachdem, wie leicht die Schwachstelle auszunutzen ist, was ein Bedrohungsakteur mit der Schwachstelle erreichen kann und wie weit verbreitet sie ist. 

... aber die Statistiken sind alarmierend

Der Rapid7 2022 Vulnerability Intelligence Report weist auf einen besorgniserregenden Trend hin: Die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und ihrer Ausnutzung wird immer kürzer. Der Bericht zeigt, dass 56 % der Schwachstellen innerhalb von sieben Tagen nach ihrer Veröffentlichung ausgenutzt wurden. Das ist eine deutliche Mehrheit der Schwachstellen, die innerhalb einer Woche nach ihrer Veröffentlichung ausgenutzt werden.

Das ist natürlich besorgniserregend, aber das gilt auch für die Geschwindigkeit der Veränderung: 56 % ist ein deutlicher Anstieg (12 %) gegenüber 2021, und 2021 war ein noch größerer Anstieg (87 %) gegenüber 2020. Es ist ein Aufwärtstrend, wenn sonst nichts.

Die begrenzten Ressourcen für die Prüfung und Behebung von Schwachstellen bedeuten, dass die Sicherheitsteams Mühe haben, mit der Flut von Schwachstellen Schritt zu halten. Und es lohnt sich, diese Frage zu stellen: Wie schnell patchen die Unternehmen, wenn die meisten Schwachstellen innerhalb von 7 Tagen ausgenutzt werden? 

Sie variiert von Umfrage zu Umfrage. Ein Beispiel, eine Edgescan-Umfrage aus dem Jahr 2022 ergab, dass es etwa zwei Monate sind. Das Infosec-Institutwiederum geht von 60 bis 150 Tagen aus und sagt, dass "Sicherheitsteams mindestens 38 Tage brauchen, um einen Patch herauszubringen".

Wie lange es dauert, einen Patch zu erstellen, hängt wahrscheinlich bis zu einem gewissen Grad von der Schwere der Sicherheitslücke und dem Ausmaß der Berichterstattung darüber ab - aber so oder so gibt es eine deutliche Lücke zwischen den "Mittelwerten". Die durchschnittliche Zeit bis zum Patching ist viel länger als die durchschnittliche Zeit bis zur Ausnutzung. 

Warum schließt sich das Exploit-Fenster?

Es war ein langer Weg und ein langsamer Aufbau... aber die Zeiten haben sich geändert. Vor Jahrzehnten konnte es Monate dauern, bis eine Schwachstelle, wenn überhaupt, ausgenutzt wurde, und wenn eine Ausnutzung möglich war, musste man sich in der Regel Zugang verschaffen.

Das Internet hat für Unternehmen, Privatpersonen und Regierungen gleichermaßen nie dagewesene Möglichkeiten eröffnet. Doch mit der Entwicklung des Internets hat auch die Bedrohung durch Cyberangriffe drastisch zugenommen. Hacker sind jetzt viel schneller in der Lage, neu entdeckte Schwachstellen auszunutzen. Und warum?

• Durch die zunehmende Vernetzung und den Informationsaustausch wurde es für Hacker einfacher, Schwachstellen schnell auszunutzen.
• Die wachsende Zahl von Hackern und Hackergruppen hat die Situation ebenfalls verschlimmert. Bei so vielen Akteuren, die nach Schwachstellen suchen, ist es keine Überraschung, dass sie viel schneller entdeckt werden.
• Auch die Hacking-Tools und -Techniken werden immer ausgefeilter, einschließlich der Möglichkeit, Tausende von Systemen automatisch nach Schwachstellen zu durchsuchen.
• Zunehmende Konnektivität von Geräten (z. B. IoT) trägt ebenfalls dazu bei, dass die Zeit zum Ausnutzen einer Schwachstelle verkürzt wird.

Insgesamt bedeutet dies, dass mehr Akteure über eine größere Angriffsfläche agieren. Infolgedessen ist es für Hacker einfacher geworden, Schwachstellen zu finden und schnell auszunutzen.

Was dies für die Praxis bedeutet

Das Ergebnis ist, dass die Unternehmen schneller und härter handeln müssen, um ihre Systeme zu schützen. Es ist immer ein Wettstreit zwischen Prioritäten und Ressourcen... aber da die Zeit zum Ausnutzen immer kürzer wird, ist der Druck einfach viel größer. 

Theoretisch sollten Unternehmen zumindest genug Zeit haben, um eine Schwachstelle zu beheben. Für entschlossene Bedrohungsakteure sind jedoch Schwachstellen, für die es keine Korrekturen gibt oder die vom Benutzer nicht behoben wurden, äußerst attraktiv. Einige der größten und bekanntesten Cyberangriffe beruhten beispielsweise auf der Lücke zwischen Entdeckung und Behebung:

• Stuxnet-Wurm: Im Jahr 2010 wurde der Stuxnet-Wurm entdeckt, der auf das iranische Atomprogramm abzielte und es stören sollte. Er nutzte eine Zero-Day-Schwachstelle in Microsoft Windows, um das System zu infizieren und sich über Netzwerke zu verbreiten.
• Equifax-Datenpanne: Im Jahr 2017 erlitt Equifax, eine der größten Kreditauskunfteien in den USA, einen massiven Datenverlust, von dem über 147 Millionen Menschen betroffen waren. Die Hacker nutzten eine Zero-Day-Schwachstelle in Apache Struts, um Zugang zum System von Equifax zu erhalten.
• Pegasus-Spyware: Im Jahr 2021 wurde festgestellt, dass die Spyware Pegasus dazu verwendet wurde, Journalisten, Aktivisten und Politiker anzugreifen. Die Spyware nutzte eine Zero-Day-Schwachstelle in Apples iMessage, um Geräte zu infizieren und sensible Informationen zu stehlen.

Da Bedrohungsakteure Schwachstellen nun immer schneller ausnutzen, werden wir wahrscheinlich immer mehr erfolgreiche Angriffe erleben, wenn es den Unternehmen nicht gelingt, schneller zu reagieren.

Reaktion auf ein enger werdendes Zeitfenster

Mehr Ressourcen einsetzen, schneller handeln und effizienter handeln. So einfach ist das, aber wie wir inzwischen alle wissen, ist die Theorie der Cybersicherheit eine Sache - die Ausführung ist eine andere Sache. 

Der Rapid 7-Bericht schlägt vor, dass Sicherheitsteams die Schwachstellen nach ihrer potenziellen Auswirkung und der Wahrscheinlichkeit ihrer Ausnutzung priorisieren sollten, anstatt sich nur auf die neuesten und am meisten gehypten Schwachstellen zu konzentrieren. 

Sie empfehlen außerdem, dass Unternehmen in Technologien investieren, die das Scannen von Schwachstellen und das Patchen automatisieren können, um die Arbeitsbelastung der Sicherheitsteams zu verringern. Wie immer ist es eine konzertierte Aktion: so viele richtige Punkte wie möglich so gründlich wie möglich zu treffen:

• Kontinuierliche Überwachung: Wenn Sie von einer Bedrohung nichts wussten oder sie nicht abwehren konnten, sollten Sie zumindest darauf achten, dass etwas Schlimmes passiert. Richten Sie eine Rund-um-die-Uhr-Überwachung ein, die kontinuierlich nach Aktivitäten von Bedrohungsakteuren sucht, damit Sie Anomalien oder verdächtige Aktivitäten sofort erkennen und proaktiv Maßnahmen zu deren Eindämmung ergreifen können.
• Schwachstellen priorisieren: Nicht jede Schwachstelle ist gleich, deshalb gibt es CVE-Bewertungen. Wenn die Cybersecurity-Presse sagt, dass es alarmierend ist, dann ist es das wahrscheinlich auch, aber machen Sie auch Ihre eigenen Hausaufgaben, damit Sie keine wertvolle Zeit verschwenden. Bleiben Sie nicht dabei hängen, weniger bedrohliche Schwachstellen zu beheben.
• Organisieren Sie es: Unternehmen sollten über ein robustes, organisiertes Patch-Management-Programm verfügen, um Sicherheitsupdates und Patches schnell bereitzustellen, sobald sie verfügbar sind. Konsistenz und Beständigkeit können dazu beitragen, Schwachstellen zu entschärfen und das MTTE-Fenster zu verkleinern.
• Verwenden Sie die besten verfügbaren Tools: Sicherheitsautomatisierung ist der Schlüssel, von SIEM-Tools (Security Information and Event Management) bis zu SOAR-Plattformen (Security Orchestration, Automation and Response). Gleiches gilt für das Patching - automatisieren Sie, wo Sie können, und wenden Sie Live-Patching auf jedes System an, das mit Live-Patching kompatibel ist..

Die Schulung der Mitarbeiter ist und bleibt ein weiteres wichtiges Instrument. Selbst Zero-Day-Exploits erfordern manchmal ein wenig Hilfe von jemandem aus dem Unternehmen. Schulungen zur Aufklärung der Benutzer über gängige Social-Engineering-Betrügereien können sehr effektiv sein. 

Gründlichkeit mit Gründlichkeit verbinden

Hacker brauchen immer weniger Zeit, um Schwachstellen auszunutzen, weil sie immer gründlicher vorgehen. Unternehmen müssen ebenso gründlich sein und Schwachstellen noch schneller als bisher beseitigen. Zum Glück gibt es die entsprechenden Werkzeuge.

Automatisierung ist eine große Hilfe, und das gilt auch für Nischen-Tools. Die Live-Patching-Technologie von TuxCare beispielsweise sorgt für ein konsistenteres Patching, da sie die Belastung der Mitarbeiter reduziert und die mit dem Patching verbundene Planung und Unterbrechung minimiert. Außerdem müssen Unternehmen nicht mehr priorisieren, welche Schwachstellen gepatcht werden sollen, da alle veröffentlichten Patches automatisch im Hintergrund und ohne Ausfallzeiten angewendet werden. 

Sie können Mehr über unsere Live-Patching-Dienste erfahren Sie hier.

Zusammenfassung

Artikel Name

Verkürzte Zeit bis zum Exploit ist eine Bedrohung - was Sie tun können

Beschreibung

Lassen Sie uns umreißen, wie das Zeitfenster zwischen der Identifizierung von Schwachstellen und warum eine verkürzte Zeit bis zum Ausnutzen eine Gefahr darstellt

Autor

Stephan Venter

Name des Herausgebers

TuxCare

Logo des Herausgebers