CISA sieht Fortschritte bei der Behebung von Sicherheitslücken

Durch eine von der Cybersecurity and Infrastructure Security Agency (CISA) geleitete Initiative zur Verringerung der Anzahl von Schwachstellen in IT-Umgebungen von über 3.500 Unternehmen konnte die Anzahl bekannter ausgenutzter Schwachstellen (KEVs) im Durchschnitt um fast 20 % reduziert werden.

Die CISA stellt Unternehmen einen Scan-Dienst zur Verfügung, der den Zustand von Ressourcen, auf die über das Internet zugegriffen werden kann, kontinuierlich auf bekannte Schwachstellen, schwache Konfigurationen, Konfigurationsfehler und suboptimale Sicherheitspraktiken hin überprüft. Der Dienst empfiehlt außerdem, die Sicherheit durch die Implementierung moderner Web- und E-Mail-Standards zu verbessern.

Insgesamt nutzen derzeit 5.900 Unternehmen den Service. An dem Programm haben bis zum 1. April 2022 3.500 Unternehmen teilgenommen, denen die CISA geholfen hat, Schwachstellen zu reduzieren.

Im Durchschnitt stellte die CISA fest, dass neu angemeldete Unternehmen ihre Schwachstellen innerhalb der ersten drei Monate der Schwachstellensuche um 20 % verringert haben. 

Diese Reduzierung stellt zwar einen Fortschritt dar, aber die CISA macht deutlich, dass noch viel mehr getan werden muss. Die Behörde plant, zusätzliche Dienste anzubieten, um den Zugriff auf die Dienste zu vereinfachen und ihre Fähigkeit zu verbessern, die Fortschritte von Unternehmen im Bereich Cybersecurity nachzuverfolgen.

Während es Hunderttausende von Schwachstellen gibt, konzentrieren sich Cyberkriminelle in der Regel auf eine Handvoll von weit verbreiteten Plattformen. Die CISA hat im letzten Sommer gemeinsam mit der National Security Agency (NSA), dem Federal Bureau of Investigation (FBI), dem Australian Cyber Security Centre (ACSC) des Australian Signals Directorate, dem Canadian Centre for Cyber Security (CCCS), dem New Zealand National Cyber Security Centre (NCSC-NZ), dem Computer Emergency Response Team New Zealand (CERT NZ) und dem National Cyber Security Centre in Großbritannien (NCSC-UK) eine Liste der 10 am häufigsten ausgenutzten Schwachstellen veröffentlicht, die Unternehmen beheben sollten.

Langfristig ist jedoch zu befürchten, dass Cyberkriminelle mit künstlicher Intelligenz (KI) ein viel breiteres Spektrum an Schwachstellen ausnutzen werden. Cyberkriminelle beobachten aktiv die Veröffentlichung von Sicherheitslücken, konzentrieren sich aber meist auf eine kleine unkompliziert auszunutzende Auswahl. KI wird es Cyberkriminellen jedoch wahrscheinlich leichter machen, ein viel breiteres Spektrum an Schwachstellen auszunutzen, indem zum Beispiel automatisch Code generiert wird. Trotz der getroffen Sicherheitsvorkehrungen haben Hacker Wege gefunden, die großen Sprachmodelle (LLMs) zu knacken, die für generative KI-Funktionen verwendet werden. Noch berüchtigter ist, dass WormGPT Cyberkriminellen Zugang zu einem LLM verschafft, der speziell dafür trainiert ist, Cyberkriminellen bei der Entwicklung von bösartigem Code zu helfen.

Wenn echte Fortschritte erzielt werden sollen, müssen Unternehmen zunächst bestehende Schwachstellen aggressiver beseitigen und gleichzeitig die Anzahl neuer Schwachstellen reduzieren, die durch die Einführung neuer Anwendungen entstehen könnten. Zumindest theoretisch nutzen Anbieter von Anwendungen die besten DevSecOps-Praktiken, um die Anzahl der Schwachstellen zu reduzieren, die ihren Weg in Anwendungen finden. Es kann jedoch noch Jahre dauern, bis diese Bemühungen wesentliche Auswirkungen auf den aktuellen Stand der Cybersecurity haben.

Natürlich fehlt den Cybersecurity-Teams im Allgemeinen die nötige Autorität, um Änderungen an den Programmen vorzunehmen. IT-Experten befürchten, dass die Anwendung von Patches zur Behebung einer Schwachstelle unbeabsichtigt zum Ausfall der Anwendung führen könnte. Das ist auf jeden Fall ein Risiko. Doch verglichen mit dem Risiko, das viele Schwachstellen für das Unternehmen darstellen, ist die Möglichkeit für Cybersecurity-Teams, Patches zur automatischen Behebung von Schwachstellen anzuwenden, jedoch das kleinere Übel.