Skybox Security veröffentlicht seinen ersten Vulnerability and Threat Trends Report. Der Report beschäftigt sich mit den Schwachstellen, Exploits und Bedrohungen aus dem Jahr 2017 und wurde von den Analysten des Skybox Research Lab erstellt.
Ein wichtiger Trend der vergangenen Jahre: Cyberkriminalität ist ein lukrativer Markt geworden. Ein wesentlicher Bestandteil dieses Ansatzes besteht darin, dass Cyberkriminelle den Weg des geringsten Widerstands gehen.
Anstatt neue Angriffstools zu entwickeln, werden vorhandene genutzt, um möglichst viele Opfer gleichzeitig anzugreifen und „low hanging fruits“ zu ernten, also vermeintlich leichte Opfer ins Visier zu nehmen. Der Report zeigt, dass nun auch jene Assets zu diesen „Früchten“ gehören, die im Allgemeinen besonders schwierig zu patchen sind.
Anstieg an Exploits bei serverseitigen Anwendungen
Die überwiegende Mehrheit der Exploits betraf 2017 serverseitige Anwendungen (76 Prozent). Im Vergleich zu 2016 ist dies ein Anstieg um 17 Prozentpunkte. Der Anstieg bei serverseitigen Exploits geht einher mit dem anhaltenden Rückgang von Exploit-Kits für clientseitige Schwachstellen.
Lediglich ein Viertel der ausgenutzten Exploits entfiel 2017 auf clientseitige Schwachstellen. Dies ist zum Teil auf das Verschwinden großer Exploit-Kits wie Angler, Neutrino und Nuclear zurückzuführen, für die bislang kein vergleichbarer Ersatz beobachtet werden konnte.
Auch die Anzahl an neu veröffentlichten Entwürfen von Exploit-Codes hat sich erhöht, im monatlichen Durchschnitt um ganze 60 Prozent. Diese Entwürfe können mit minimalen oder sogar ohne jegliche Anpassungen von Angreifern in voll funktionsfähige Exploits zum Eigengebrauch umgewandelt werden.
Ein Beispiel für ein solches Szenario ist der EternalBlue-Exploit der NSA, der von der als „Shadow Brokers“ bekannten Hackergruppierung veröffentlicht und unter anderem bei den WannaCry- und NotPetya-Angriffen verwendet wurde. Solche Leaks bringen fortschrittliche Angriffswerkzeuge in die Hände von weniger qualifizierten Cyberkriminellen und erweitern die Fähigkeiten einer ohnehin bereits gut ausgestatteten Bedrohungslandschaft.
In kritischen Infrastrukturen fehlt der Einblick ins Netzwerk
Der Report zeigt außerdem, dass im Jahr 2017 die Zahl der neuen Schwachstellen für Operational Technology (OT) im Vergleich zum Vorjahr um 120 Prozent gestiegen ist. OT umfasst Geräte, die physisches Equipment und Prozesse sowohl überwachen als auch verwalten und wird insbesondere in kritischen Infrastrukturen von Energieerzeugern, Versorgungsunternehmen und der verarbeitenden Industrie eingesetzt.
Dieser Anstieg der bekannten Schwachstellen ist besonders besorgniserregend, da viele Organisationen entweder unzureichende oder gar keine Einblicke in ihr OT-Netzwerk haben. In der Regel ist ein Scannen des OT-Netzwerks nicht erlaubt, so dass Schwachstellen in diesen Bereichen unzugänglich bleiben.
Verdopplung der Zahl an neu entdeckten Schwachstellen im Jahr 2017
Mit über 14.000 neu registrierten CVEs verdoppelte sich im Jahr 2017 die Anzahl der Schwachstellen, die in der Datenbank der US-amerikanischen MITRE Organisation erfasst wurden. Dieser Anstieg ist größtenteils auf organisatorische Verbesserungen bei MITRE und mehr Forschung durch Dritte – darunter ein herstellerfinanziertes Bug-Bounty-Programm – zurückzuführen. Unabhängig davon ist der Anstieg an Schwachstellen für die IT-Teams eine große Herausforderung.
Skybox empfiehlt hierfür ein Schwachstellen-Management, das sich auf Bedrohungen fokussiert (Threat Centric Vulnerability Management, TCVM), um sich auch zukünftigen Veränderungen in der Bedrohungs-Landschaft anzupassen. Beim TCVM-Ansatz analysieren Sicherheitsteams die Schwachstellen aus einer übergreifenden Perspektive auf Unternehmen, Netzwerk und Bedrohungen und konzentrieren sich auf diejenige Teilmenge der Schwachstellen, die am wahrscheinlichsten bei einem Angriff ausgenutzt wird.