Veracode: Sicherheitsrisiken nach Expositionsdauer statt nach Rückstand bewerten

Zusammenfassung

Nach Einschätzung von Chris Wysopal, Chief Security Evangelist bei Veracode, unterschätzen viele Sicherheitsteams nicht die Zahl ihrer Schwachstellen, sondern wie lange davon tatsächlich angreifbar bleiben. In einem Meinungsbeitrag beschreibt er „Sicherheitsschulden“ als Schwachstellen, die länger als ein Jahr offen sind. Laut Veracode tragen derzeit 82 Prozent der Organisationen solche Altlasten mit sich. Gleichzeitig nehme der Anteil von Schwachstellen zu, die sowohl schwerwiegend als auch wahrscheinlich ausnutzbar sind. Für Wysopal entsteht das eigentliche Risiko genau aus dieser Kombination: Lücken werden nicht nur entdeckt, sondern bleiben in Produktionssystemen lange genug bestehen, um gefunden und missbraucht zu werden. Statt den Rückstand als Mengenproblem zu behandeln, sollten Unternehmen daher vor allem prüfen, welche Schwachstellen in produktiven Umgebungen erreichbar sind, welche Anwendungen besonders kritisch sind und wie lange diese Exposition anhält. Veracodes Forschung zufolge liegen 11,3 Prozent der Schwachstellen in diesem Hochrisikobereich.

Wysopal argumentiert, dass viele Teams seit Jahren wissen, dass sie nicht jede Schwachstelle beheben können. Verändert habe sich vor allem die Geschwindigkeit, mit der aus Exposition ein konkretes Risiko werde. Angreifer agierten schneller, Ausnutzungstechniken seien leichter zugänglich, und das Zeitfenster zwischen Entdeckung und Ausnutzung werde kleiner. Wer Sicherheitsschulden weiterhin nur als Rückstand messe, erfasse deshalb eher Aktivität als tatsächliches Risiko.

Als ersten Schritt empfiehlt Veracode, den Fokus zu verengen. In jeder Organisation gebe es nur eine kleine Zahl von Anwendungen, auf denen der Großteil des Risikos laste. Gemeint sind Systeme mit Bezug zu Umsatz, sensiblen Daten oder externer Erreichbarkeit — gewissermaßen die Kronjuwelen eines Unternehmens. Genau diese Systeme seien auch die wahrscheinlichsten Ziele für Angreifer. Statt die Kräfte über den gesamten Rückstand zu verteilen, solle die Behebung bei diesen kritischen Anwendungen beginnen.

Darauf aufbauend rät Wysopal, gezielt nach sehr kritischen oder hochkritischen Schwachstellen zu suchen, die wahrscheinlich oder sehr wahrscheinlich ausnutzbar sind. Laut Veracodes Forschung entfallen 11,3 Prozent der Schwachstellen auf diesen Hochrisikobereich. Dieser Ansatz reduziere den Rückstand nicht über Nacht, senke aber das tatsächliche Risiko.

Schweregrade bleiben aus seiner Sicht wichtig, reichen allein aber nicht aus. Angreifer priorisierten nicht nach Bewertungsskalen, sondern danach, was erreichbar, leicht auszunutzen und mit etwas Wertvollem verbunden sei. Eine Schwachstelle mittlerer Schwere in einer öffentlich erreichbaren Anwendung könne daher ein unmittelbarer größeres Risiko darstellen als ein hoch eingestuftes Problem in einem internen System. Veracode beobachtet zudem, dass sich mehr Schwachstellen in der Hochrisikokategorie ballen — also dort, wo hohe Schwere und hohe Ausnutzbarkeit zusammenkommen.

Für eine wirksame Priorisierung sollten Teams laut Wysopal deshalb vor allem drei Fragen stellen: Ist die Schwachstelle in der Produktion erreichbar? Ist die Anwendung exponiert oder geschäftskritisch? Gibt es bekannte Exploits oder aktive Angriffsmuster? Veracode habe festgestellt, dass Entwickler diese Priorisierung nicht automatisch selbst vornehmen. Nötig sei nicht zwingend ein komplett neues Modell, wohl aber die klare Vorgabe, zuerst die Schwachstellen zu beheben, die mit der höchsten Wahrscheinlichkeit tatsächlich gegen das Unternehmen eingesetzt werden.

Als eines der größten Hindernisse nennt Wysopal die begrenzte Behebungskapazität. Die meisten Organisationen fänden Schwachstellen schneller, als sie sie beseitigen könnten; genau daraus wachse der Berg an Sicherheitsschulden. Teams, die Fortschritte machten, behandelten Behebung deshalb als eigene, mit Ressourcen ausgestattete Funktion. Sie reservierten dedizierte Engineering-Zeit für Sicherheitsarbeit, legten Erwartungen für die Fristen bei Hochrisiko-Schwachstellen fest, verfolgten das Verhältnis zwischen neu eingehenden Funden und Behebungsleistung und integrierten Korrekturen als kontinuierlichen Prozess in den SDLC.

Ein besonders hartnäckiger Risikofaktor ist laut Veracode Fremdcode. 66 Prozent der Sicherheitsschulden in Drittanbieter-Code seien kritisch. Ein erheblicher Anteil kritischer Altlasten stamme aus Abhängigkeiten, deren Behebung länger dauere. Veracodes Forschung beziffert die Halbwertszeit der Behebung für Schwachstellen in Drittanbieter-Komponenten auf 358 Tage. Als Gründe nennt Wysopal komplexe transitive Abhängigkeiten, mögliche Funktionsprobleme durch Upgrades und oft unklare Zuständigkeiten.

Als aussagekräftigere Kennzahl als reine Zählwerte schlägt Veracode die Expositionsdauer vor: also die Zeit, in der eine kritische, ausnutzbare Schwachstelle besteht, bevor sie behoben oder entschärft wird. Genau in diesem Fenster operierten Angreifer. Je länger es offen bleibe, desto höher sei die Wahrscheinlichkeit einer Ausnutzung. Sicherheitsschulden würden zwar nicht verschwinden, schreibt Wysopal. Entscheidend sei aber, die Zeit zu verkürzen, in der die gefährlichsten Schwachstellen Angreifern offenstehen.

Veracode: Sicherheitsrisiken nach Expositionsdauer statt nach Rückstand bewerten

Ähnliche Artikel

Neueste Artikel