Die neue LEV-Metrik des NIST: Wie kann sie Unternehmen helfen?

Die zentrale US-Großforschungseinrichtung NIST (National Institute of Standards and Technology) hat eine neue Metrik vorgestellt, die das Schwachstellenmanagement revolutionieren soll. Mit dem Ranking Likely Exploited Vulnerabilities (LEV) werden Unternehmen in die Lage versetzt, ihre Bemühungen auf die Schwachstellen zu konzentrieren, die Cyberkriminelle aktiv für Angriffe in der realen Welt nutzen.

Jedes Jahr werden Tausende von Schwachstellen gemeldet, doch nur ein kleiner Teil davon wird tatsächlich ausgenutzt. Laut NIST schaffen es Unternehmen lediglich, 16 Prozent der monatlich auftretenden Fehler zu beheben, während nur 5 Prozent der entdeckten Schwachstellen tatsächlich böswillig ausgenutzt werden. Diese Diskrepanz verschwendet Ressourcen und schafft ein falsches Gefühl der Sicherheit.

LEV zielt darauf ab, diese Lücke zu schließen. Durch die Identifizierung der aktiv ausgenutzten Schwachstellen können Unternehmen fundiertere Entscheidungen treffen, ihre Reaktion optimieren und ihre Angriffsfläche minimieren.

Wie LEV-Metriken für das Schwachstellenmanagement in Unternehmen genutzt werden können

Wenn es darum geht, Schwachstellen zu priorisieren, schafft die neue Metrik in viererlei Hinsicht Abhilfe:

1. Abschätzung der tatsächlich ausgenutzten Schwachstellen:

   IT-Teams stehen vor der Herausforderung, Prioritäten zu setzen und sich auf die Behebung von Schwachstellen zu konzentrieren, die bereits von Angreifern ausgenutzt werden. Die LEV-Metrik unterstützt diesen Prozess, indem sie eine Bewertung auf der Grundlage von Nachweisen für aktive Ausnutzung innerhalb der spezifischen Umgebung des Unternehmens vergibt. Diese Informationen helfen den Teams, zwischen geringfügigen Schwachstellen und solchen, die ein echtes und unmittelbares Risiko darstellen, zu unterscheiden, und erleichtern so eine genauere Entscheidungsfindung.

2. Überprüfung der Vollständigkeit von KEV-Listen (Known Exploited Vulnerabilities):

   KEV-Listen sind eine grundlegende Informationsquelle. Dadurch lassen sich Wiederherstellungszeiten bei Sicherheitslücken um 50 Prozent reduzieren. Da sie jedoch auf öffentlichen Informationen und dokumentierten Fällen basieren, spiegeln sie nicht immer den tatsächlichen Gefährdungsstatus jedes Unternehmens vollständig wider. Aus diesem Grund ist es wichtig, diese Listen durch Metriken wie LEV zu ergänzen. So lässt sich überprüfen, ob Systeme tatsächlich diesen Schwachstellen ausgesetzt sind und ob sie bereits gepatcht wurden. Außerdem muss man sich bei der Priorisierung nicht ausschließlich auf öffentliche Listen verlassen und spart Zeit und Kosten.

3. Identifikation von risikoreichen Schwachstellen, die in KEV-Listen fehlen:

   Da offizielle Listen nicht immer rechtzeitig vorliegen, werden einige Schwachstellen ausgenutzt, bevor sie öffentlich bekannt werden. Unternehmen laufen somit Gefahr, im Dunkeln zu tappen. LEV hilft dabei, anhand von in Echtzeit erkannten Verhaltenssignalen wie anomalen Mustern oder Ausnutzungsversuchen zu bestätigen, welche Schwachstellen in der Organisation ausgenutzt werden. So können Organisationen aktive Bedrohungen identifizieren, auch wenn diese noch nicht offiziell dokumentiert sind, und deren Behebung priorisieren, bevor es zu einer Sicherheitsverletzung kommt.

4. Beseitigung von Schwachstellen im EPSS (Exploit Prediction Scoring System):

   Zwar helfen Risikobewertungen wie EPSS bei der Priorisierung, sie können jedoch bereits ausgenutzte Schwachstellen übersehen, wenn diese nicht zum Vorhersagemodell passen. LEV-Metriken ergänzen diesen Ansatz, indem sie sich auf reale Signale aus der Umgebung stützen, z.B. Exploit-Versuche oder Kompromittierungsindikatoren, um laufende böswillige Aktivitäten zu erkennen. So kann man Prioritäten auf der Grundlage konkreter Beweise anpassen und ist nicht mehr so stark von Scoring-Systemen abhängig.

Damit LEV-Metriken für Unternehmen wirklich nützlich sind, müssen sie ein genaues Bild liefern und in der Lage sein, reale Risiken auf der Grundlage von Beweisen für aktive Ausnutzung zu priorisieren. Die LEV-Bewertung ist ein wichtiger Schritt hin zu einem effektiveren Schwachstellenmanagement, dessen wahrer Wert sich erst dann entfaltet, wenn es in ein tragfähiges Konzept integriert wird. Ein solches souveränes Management setzt voraus, dass Unternehmen einen Service nutzen, der es ihnen ermöglicht, der Entwicklung voraus zu sein, in Echtzeit zu sehen, was in ihrer Umgebung geschieht, Anzeichen für aktive Ausnutzung zu erkennen, noch bevor eine Schwachstelle öffentlich bekannt wird, und dort zu patchen, wo das Risiko real ist. Diese Kombination aus Kontext, Intelligenz und Automatisierung ermöglicht es, Daten in konkrete Maßnahmen umzusetzen und Bedrohungen genau vorherzusagen.