Schwachstellen auszunutzen ist eine der bevorzugten Angriffsmethoden von Hackern – und sie nimmt stetig zu. Im Jahr 2023 stieg die Zahl der Sicherheitsverletzungen durch ausgenutzte Sicherheitslücken laut Schätzungen um das Dreifache. Zudem gehören offene Schwachstellen zu den drei häufigsten Einfallstoren für Ransomware.
Da die Zahl der CVEs (Common Vulnerabilities and Exposures) immer neue Rekorde erreicht, kämpfen Unternehmen mit der Bewältigung dieser Bedrohung. Eine automatisierte, risikobasierte Strategie zur Schwachstellenbeseitigung kann Abhilfe schaffen.
Die wachsende Bedrohung durch Softwarefehler
Software-Schwachstellen sind unvermeidlich. Solange Menschen Code schreiben, schleichen sich Fehler ein, die von Cyberkriminellen ausgenutzt werden können. Ungepatchte Schwachstellen sind nicht nur Einfallstore für Ransomware und Datendiebstahl, sondern ermöglichen auch staatlich unterstützte Spionage und destruktive Angriffe.
Die hohe Zahl veröffentlichter CVEs resultiert aus mehreren Faktoren:
- Komplexe Softwareentwicklung: Neue Anwendungen und kontinuierliche Updates vergrößern die Angriffsfläche. Häufig werden Drittanbieter-Komponenten oder Open-Source-Bibliotheken integriert, die Schwachstellen enthalten können.
- Sicherheitsmängel in der Entwicklung: Geschwindigkeit wird oft über Sicherheit gestellt, wodurch fehlerhafter Code in Produktivsysteme gelangt.
- Forschung durch Sicherheitsexperten: Ethical Hacking und Bug-Bounty-Programme führen zu mehr entdeckten und gemeldeten Schwachstellen. Hersteller stellen meist zeitnah Patches bereit, doch Unternehmen müssen diese Aktualisierungenauch anwenden.
- Kommerzielle Spyware: Unternehmen verkaufen Exploits an staatliche Akteure, um Überwachungsmaßnahmen zu ermöglichen. Laut dem britischen National Cyber Security Centre (NCSC) verdoppelt sich dieser Markt alle zehn Jahre.
- Professionalisierung der Cyberkriminalität: Initial Access Broker (IABs) spezialisieren sich darauf, über Schwachstellenausnutzung in Unternehmensnetzwerke einzudringen. Laut einem Bericht von 2023 stieg die Zahl der IABs auf Cybercrime-Foren um 45 Prozent.
Welche Schwachstellen sind besonders riskant?
Die Geschichte der Schwachstellenlandschaft ist eine Story des Wandels und der Kontinuität. Viele der üblichen Verdächtigen tauchen in der MITRE-Liste der 25 häufigsten und gefährlichsten Software-Schwachstellen auf, die zwischen Juni 2023 und Juni 2024 entdeckt wurden. Dazu gehören häufig auftretende Sicherheitslücken wie Cross-Site Scripting, SQL Injection, Use After Free, Out-of-Bounds-Read, Code Injection und Cross-Site Request Forgery (CSRF). Diese Schwachstellen sollten den meisten Cyber-Verteidigern bekannt sein und können daher mit weniger Aufwand entschärft werden: entweder durch verbesserte Härtung/Schutz von Systemen und/oder verbesserte DevSecOps-Praktiken.
Andere Trends sind jedoch möglicherweise noch beunruhigender. In ihrer Liste der 2023 Top Routinely Exploited Vulnerabilities (2023 Top Routinely Exploited Vulnerabilities) stellt die US-amerikanische Behörde für Cyber- und Infrastruktursicherheit (CISA) fest, dass die meisten dieser Schwachstellen ursprünglich als Zero-Day-Schwachstellen ausgenutzt wurden. Zum Zeitpunkt der Ausnutzung waren keine Patches verfügbar und betroffenen Unternehmen mussten auf andere Mechanismen zurückgreifen, um sich zu schützen oder die Auswirkungen zu minimieren. Auch in anderen Bereichen werden häufig Sicherheitslücken mit geringer Komplexität bevorzugt, die wenig oder keine Benutzerinteraktion erfordern. Ein Beispiel hierfür sind die Zero-Click-Exploits, die von kommerziellen Spyware-Anbietern zur Verbreitung ihrer Malware angeboten werden.
Ein weiterer Trend ist das gezielte Ausnutzen von Sicherheitslücken in Perimeter-basierten Produkten. Das National Cyber Security Centre (NCSC) hat vor einer Zunahme solcher Angriffe gewarnt, bei denen häufig Zero-Day-Exploits eingesetzt werden. Diese zielen auf Dienste zum Dateitransfer, Firewalls, VPNs und Mobile Device Management (MDM)-Angebote ab.
Im Bericht heißt es: „Angreifer haben erkannt, dass die meisten Produkte, die dem Perimeter ausgesetzt sind, nicht von vornherein sicher sind. So lassen sich Schwachstellen viel leichter finden als in verbreiteter Client-Software. Darüber hinaus verfügen diese Produkte in der Regel nicht über eine angemessene Protokollierung (oder können nicht leicht forensisch untersucht werden). Dies macht sie zu perfekten Einfallstoren in ein Netzwerk, in dem jeder Client wahrscheinlich mit High-End-Detektionsfunktionen ausgestattet ist“.
Erschwerende Faktoren für IT-Sicherheitsverantwortliche
Die Herausforderungen für IT-Teams nehmen stetig zu:
- Immer schnellere Angriffe: Die Zeit bis zur ersten Ausnutzung einer Schwachstelle beträgt laut Google Cloud mittlerweile nur noch fünf Tage – zuvor waren es 32 Tage.
- Komplexe IT-Umgebungen: Hybride Cloud-Architekturen und veraltete Systeme erschweren das Patch-Management.
- Schlechte Patch-Qualität: Fehlerhafte oder unklare Patches führen zu doppeltem Aufwand und erschweren die Risikoeinschätzung.
- Rückstände in Sicherheitsdatenbanken: Verzögerungen in der NIST NVD-Datenbank lassen Unternehmen ohne aktuelle Informationen zu kritischen CVEs zurück.
Laut Verizon wurden in der CISA Known Exploited Vulnerabilities (KEV) Liste:
- Nach 30 Tagen noch 85 Prozent der Schwachstellen nicht behoben
- Nach 55 Tagen noch 50 Prozent nicht behoben
- Nach 60 Tagen noch 47 Prozent nicht behoben
Wie Unternehmen ihr Patch-Management verbessern können
Die schiere Menge an monatlich veröffentlichten CVEs macht es unmöglich, alle zu patchen. Unternehmen sollten daher nach Risiko und Schwere priorisieren. Effektive Lösungen umfassen:
- Automatisierte Scans zur Identifikation bekannter CVEs
- Priorisierung nach Risiko zur Fokussierung auf kritische Schwachstellen
- Detaillierte Reports mit betroffenen Systemen und erforderlichen Patches
- Flexibles Patch-Management zur gezielten Auswahl relevanter Systeme
- Automatisierte oder manuelle Patch-Prozesse, je nach Unternehmensanforderungen
Organisationen sollten in puncto Zero-Day-Bedrohungen eine fortschrittliche Bedrohungserkennung in Betracht ziehen, die mögliche Exploits automatisch extrahiert. Experten empfehlen, diese in einer Cloud-basierten Sandbox auszuführen und zu analysieren, ob sie bösartig sind oder nicht. Algorithmen des Machine Learnings können auf den Code angewendet werden. Mit ihrer Hilfe lassen sich neue Bedrohungen innerhalb von Minuten mit hoher Genauigkeit erkennen uns automatisch blockieren.
Weitere Taktiken können die Mikrosegmentierung von Netzwerken, der Zugang zu Zero-Trust-Netzwerken, Netzwerküberwachung (auf ungewöhnliches Verhalten) und starke Programme zur Sensibilisierung für Cybersicherheit beinhalten.
Bedrohungsakteure setzen zunehmend ihre eigenen KI-Tools ein, um einfacher als bisher Schwachstellen zu finden, die für Angriffe aus dem Internet anfällig sind. Mit der Zeit werden sie vielleicht sogar in der Lage sein, mit Hilfe von GenAI Zero-Day-Schwachstellen aufzuspüren. Die beste Verteidigung ist es, informiert zu bleiben und einen regelmäßigen Dialog mit vertrauenswürdigen Sicherheitspartnern zu führen.