Tenable: Nur 3 Prozent aller Schwachstellen sind wirklich kritisch

Über zwei Jahrzehnte hinweg 50 hat Tenable Billionen Datenpunkte analysiert, um kontextbezogen kritische Schwachstellen zu identifizieren

[datensicherheit.de, 27.08.2024] Tenable® hat nach eigenen Angaben im Rahmen einer der aktuellen Studie „The Critical Few: How to Expose and Close the Threats that Matter“ die wichtigsten Schwachstellen in Unternehmen identifiziert und möchte in der damit verbundenen Stellungnahme konkrete Handlungsempfehlungen zur Behebung potenziell businesskritischer Cyber-Bedrohungen geben. „In den vergangenen zwei Jahrzehnten hat Tenable rund 50 Billionen Datenpunkte zu mehr als 240.000 Schwachstellen gesammelt und analysiert. Aufsetzend auf diesen umfangreichen Datensatz hat Tenable eine Methodik entwickelt, die zeigt, dass in der Regel nur drei Prozent dieser Schwachstellen in folgenschweren Breaches resultieren.“

Abbildung: tenable

Tenable Research Report „The critical few“

Schwachstellen mit einem VPR über 9,0 werden mit hoher Wahrscheinlichkeit ausgenutzt

„Security-Teams sind mit Unmengen fragmentierter Schwachstellen- und Threat-Intelligence-Daten konfrontiert. Tenable hat diese Studie durchgeführt, um die Teams dabei zu unterstützen, auf eine proaktive Cybersecurity-Strategie umzusatteln und sich auf die Behebung der kritischsten Bedrohungen zu konzentrieren.“ Die vorliegende Studie greife auf das VPR-Modell (Vulnerability Priority Rating) zurück, „das Tenable entwickelt hat, um die aktuelle Bedrohungslandschaft abzubilden“. Die VPR-Werte reichten von 0,1 bis 10, wobei höhere Werte auf eine höhere Wahrscheinlichkeit einer Ausnutzung hinwiesen.

Schwachstellen mit einem VPR über 9,0 würden mit hoher Wahrscheinlichkeit ausgenutzt, wenn sie entdeckt werden – und sollten auf der Prioritätenliste ganz oben stehen. Schwachstellen mit einem VPR zwischen 7,0 und 8,9 stellten dagegen ein moderates Risiko dar, während Schwachstellen der Kategorien „Medium“ und „Low“ (0,1 bis 6,9) weniger wahrscheinlich ausgenutzt würden.

Ein Beispiel: „Von den fast 240.000 im Rahmen der Studie am 2. Juni 2024 analysierten Schwachstellen fielen nur 3,1 Prozent – weniger als 7.500 – in die Kategorien ,Critical’ oder ,High’.“

Ohne Kontext müsste jede Schwachstelle als „kritisch“ gelten…

„Ohne Kontext ist jede Schwachstelle, jeder Patch und jedes Update kritisch – und es wird fast unmöglich, alle Systeme up to date zu halten“, so Roger Scheer, „Regional Vice President Central Europe“ bei Tenable.

Er betont: „Exposure Management ist unerlässlich, wenn es darum geht, klar zu priorisieren, was wirklich ein Risiko für das Business darstellt. Alle Stakeholder müssen diese Risiken verstehen und diejenigen, die in einem Breach resultieren könnten, priorisiert adressieren!“

Indem sie sich auf die kritischsten Schwachstellen fokussierten, könnten Unternehmen ihre „Security Posture“ stärken und Ressourcen effektiver einsetzen. Dabei sei entscheidend, „dass die Unternehmensführung diesen Ansatz mitträgt und proaktive Maßnahmen ergreift, um kritische ,Assets’ zu schützen“, unterstreicht Scheer abschließend.

Weitere Informationen zum Thema:

tenable
Tenable Research Report / The critical few: how to focus on the exposures that matter