CISA übernimmt die Führungsrolle bei Abhilfemaßnahmen

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat sich in den letzten Monaten zum Besseren oder Schlechteren als De-facto-Schlichter herauskristallisiert, bei dem Organisationen Prioritäten bei der Behebung von Schwachstellen setzen sollten.

Vor kurzem hat die CISA die Behörden der Federal Civilian Executive Branch Agency (FCEB) angewiesen, Windows-Systeme zu patchen, die eine Schwachstelle namens CVE-2022-21882 aufweisen, die es Cyberkriminellen ermöglicht, bis zum 18. Februar Systemberechtigungen zu erlangen .

CISA fordert außerdem alle Organisationen des privaten und öffentlichen Sektors nachdrücklich auf, ihre Gefährdung durch laufende Cyberangriffe zu verringern, indem sie sowohl diese Richtlinie annehmen als auch der Minderung von Schwachstellen Vorrang einräumen, die in ihrem Katalog aktiv ausgenutzter Security-Schwächen aufgeführt sind.

Die meisten Cyberangriffe betrafen eine bekannte Schwachstelle, die nicht gepatcht wurde. Organisationen patchen auch weitgehend keine Systeme, weil sie nicht in der Lage sind, zu verfolgen und zu priorisieren, welche Patches angewendet werden sollen und Endbenutzer zu apathisch sind, um ihre Anwendungen oder Systeme zu aktualisieren. Oder sie befürchten, dass ein Patch eine Anwendung aufgrund einer Abhängigkeit von einer Komponente, die aktualisiert werden muss, beschädigt.

Cyberkriminelle sind sich dieser Schwächen natürlich nur allzu bewusst. Bei aller Sorge um Zero-Day-Schwachstellen in letzter Zeit ist die Anzahl bekannter Schwachstellen, die leicht ausgenutzt werden können, enorm. Cyberkriminelle haben es nicht eilig, eine Zero-Day-Schwachstelle auszunutzen, bevor sie gepatcht wird . Es gibt keinen Mangel an einfachen Angriffsvektoren, die leichter ausgenutzt werden können. Der CISA-Katalog bietet zumindest einen Anhaltspunkt dafür, welche Schwachstellen nach ihrem tatsächlichen Gefährdungspotenzial priorisiert werden sollten. In dieser Hinsicht ist der CISA-Katalog ein nobles Unterfangen, Steuergelder für die Nation einzusetzen.

Natürlich gibt es keinen Mangel an Quellen für Cyber-Intelligenz. Das Problem bestand schon immer darin, zwischen Warnungen und wirklich umsetzbaren Informationen zu unterscheiden. Viele IT-Teams werden mit Warnungen so überschwemmt, dass sie sich an diese Warnungen gewöhnt haben. Viele der später entdeckten Verstöße betrafen tatsächlich ein Problem, auf das das IT-Team zuvor aufmerksam gemacht wurde. Es ist nur das Signal, das in all dem Warnlärm untergegangen ist.

Cyberkriminelle rechnen offensichtlich damit, dass IT-Teams einfach zu überfordert sind, um jede bekannte Schwachstelle in IT-Umgebungen zu beheben, die mit jedem Tag größer werden. Die Anzahl der potenziellen Angriffsflächen, die wie in vielen Fällen regelmäßig gepatcht werden müssen, wird einfach zu groß. Fügen Sie all die nicht verwalteten Plattformen hinzu, die entweder unwissentlich an Unternehmensnetzwerke angeschlossen oder einfach vergessen wurden und es wird deutlich, wie schwierig es wirklich ist, jede Plattform auf dem neuesten Stand zu halten.

Trotzdem muss der Kampf geführt werden. So gut wie nichts zu tun, nur weil die Aufgabe gigantisch ist, wird mit Sicherheit zu einer Katastrophe führen. Jede IT-Organisation ist verpflichtet, sich nach besten Kräften zu bemühen. Die CISA-Leitlinien bieten nicht nur einen guten Ausgangspunkt, sondern auch eine Art Benchmark. In einer idealen Welt hätten die meisten Organisationen die kritischen Schwachstellen, die behoben werden müssen, bereits identifiziert, bevor eine Regierungsbehörde dazu kam, eine Benachrichtigung herauszugeben. Als Benchmark sollten IT-Teams verfolgen, wie oft sie eine kritische Schwachstelle behoben haben, bevor CISA eine Benachrichtigung herausgab.

Wie bei den meisten Benchmarks sollte der Zweck darin bestehen, IT-Teams ein Ziel vorzugeben. Es ist nicht erforderlich, Leistungsüberprüfungen basierend auf einem Benchmark einzurichten. Die meisten IT-Führungskräfte wissen, wie gut ihre Teams sein können oder nicht, ohne unbedingt Benchmarks verfolgen zu müssen. Ein Unternehmen sollte jedoch in der Lage sein, regelmäßig eine große bürokratische Regierungsbehörde zu übertreffen. Das heißt nicht, dass es nicht viele talentierte IT-Mitarbeiter gibt, die für Regierungsbehörden arbeiten. Angesichts der vielen alten Plattformen und internen Prozesse, mit denen sie sich auseinandersetzen müssen, stehen die Chancen, dass die Anwendungen und Systeme auf dem neuesten Stand sind, immer schlecht.