Wie du wahrscheinlich weißt, alle Systeme sind anfällig. Jährlich, CVE-IDs werden zu Tausenden von entdeckten Schwachstellen zugewiesen, und es ist fast unmöglich, jeden neuen zu überwachen. Exploit Prediction Scoring System könnte diese Probleme lösen
HSo verstehen Sie sofort, welche Unternehmen korrigieren, und welche kann auf Eis gelegt werden, Spezialisten versuchten, bei der herauszufinden Black Hat USA-Konferenz, die letzte Woche in Las Vegas stattfand.Fachwelt Michael Roytmann von Kenna Security und Jay Jacobs vom Cyentia Institute namens Vulnerability Management a “bösartiges Problem” weil es nicht mit der Anzahl der erkannten Schwachstellen vergleichbar ist.
"Jeden Monat, nur 10% aller Schwachstellen werden behoben. Es gibt zu viele davon, als dass Unternehmen alles reparieren könnten, Daher ist es notwendig, eine Strategie zu entwickeln, die dieses Problem löst.“, – Experten überlegen.
Die neue Strategie soll Unternehmen dabei helfen herauszufinden, welche Schwachstellen wirklich behoben werden müssen. Theoretisch, das CVSS-Bewertungssystem soll dabei helfen – desto höher die Bewertung, desto schwerwiegender das Problem.
jedoch, alle Schwachstellen, die punkten 7 oder höher laut CVSS gelten als kritisch. Es gibt immer noch zu viele solcher „kritischen“ Schwachstellen und es ist unmöglich zu verstehen, welche davon Priorität haben sollte.
„CVSS dosiert nur Ihre Patch-Installationsrichtlinien und bringt Sie dazu, Geld den Bach runterzuwerfen“, – sagten Roitman und Jacobs.
Nach Angaben der Forscher, nur 2-5% aller kritischen Schwachstellen werden tatsächlich in echten Angriffen ausgenutzt. Deshalb, Es ist notwendig, ein System zur Bewertung des Risikos von Schwachstellen zu schaffen, die die potenzielle Möglichkeit ihrer Verwertung in der Praxis berücksichtigen würden.
Gemäß Dunkellesen, Das Exploit Prediction Scoring System (EPSS), eingeführt von Roitman und Jacobs bei Black Hat USA, könnte ein solches System werden. EPSS verwendet mehr als ein Dutzend Kriterien, um die Machbarkeit der Ausnutzung der Schwachstelle zu bestimmen.
Dies umfasst die CVE- und CVSS-Bewertung, Vorhandensein von PoC-Exploits und Exploits, die von Cyberkriminellen verwendet werden, das Betriebssystem, der Anbieter, und andere Variablen. Unter Berücksichtigung aller oben genannten Kriterien, EPSS gibt die prozentuale Wahrscheinlichkeit der Ausnutzung einer bestimmten Schwachstelle bei realen Angriffen an.
lesen Sie auch: Crowdstrike Studie: Bedrohungen für mobile Geräte sind viel anspruchsvoller und gefährlich werden
Roytman und Jacobs sagten, dass sie ihre Methodik sowohl als Algorithmus zur Verfügung stellen werden, der von anderen konfiguriert und implementiert werden kann, als auch als Online-Rechner, in den Benutzer Daten für eine Antwort auf einen beliebigen CVE eingeben können.
Zum Zeitpunkt der Veröffentlichung dieser Geschichte, die URL für den Rechner (http://kennaresearch.com/tools/epss-calculator) war noch nicht aktiv, aber sie sagten, dass die Seite, Dazu gehört auch das Whitepaper, in dem die Forschung erläutert wird, die zu dem neuen Modell geführt hat, wird bald nach Abschluss von Black Hat verfügbar sein.
