Cyberbedrohungen erkennen und abwehren
MITRE und die CWE-Liste können sehr hilfreich sein, vor allem aus der Perspektive der Softwaresicherheit
MITRE bietet eine teilweise vom Non-Profit-Unternehmen selbst kuratierte Wissensdatenbank
Cybersicherheit ist heute unter anderem ein Big Data-Problem. Mit einem weiter anwachsenden Grundrauschen an Benachrichtigungen und Alarmen wird es immer schwieriger zu erkennen, wann man tatsächlich auf eine Bedrohung reagieren muss und welcher Ablauf ihr zugrunde liegt. MITRE bietet eine teilweise vom Non-Profit-Unternehmen selbst kuratierte Wissensdatenbank, bekannt unter dem Namen MITRE ATT&CK ("Adversarial Tactics, Techniques, and Common Knowledge"). Innerhalb der Plattform sind verschiedene Arten von Taktiken, Techniken und Verfahren (TTPs) derer sich Cyberkriminelle bedienen, organisiert und kategorisiert, und die Plattform bietet Informationen zur Analyse des gesamten Lebenszyklus eines Cyberangriffs.
Aber ist das MITRE ATT&CK-Rahmenwerk fraglos die richtige Grundlage um Cyberbedrohungen in ihren typischen Phasen zu erkennen und abzuwehren?
Fragen an und Antworten von Oleg Kolesnikov, VP of Threat Research bei securonix:
Frage: Würden Sie der CWE-Liste (Common Weakness Enumeration) der gefährlichsten Software-Schwachstellen grundsätzlich zustimmen oder hat MITRE aus Ihrer Sicht zu kurz gegriffen oder wichtige Lücken außer Acht gelassen?
Oleg Kolesnikov: Unserer Erfahrung nach hat sich im Verhältnis zu der erstmals 2011 veröffentlichten CWE-Liste einiges getan, und wir erkennen definitiv deutliche Verbesserungen. Die neue CWE T25-Liste der wichtigsten Schwachstellen ist sehr viel relevanter als ihre Vorgängerin, und sie lässt sich deutlich besser praktisch anwenden. Zu den Verbesserungen zählen etwa bessere Daten-getriebene Priorisierungsmöglichkeiten auf der Basis von NVD/CVE-Daten aus den entsprechenden Schwachstellendatenbanken. Bestimmte Einträge wie CWE-119 haben einen anderen Stellenwert zugeordnet bekommen. In Google Chrome bis 19.0.1084.57 auf Windows (Web Browser) wurde eine kritische Schwachstelle ausgemacht. Es geht um unbekannten Code der Bibliothek metro.dll der Komponente Metro DLL Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-119 mit Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. Andere Updates in der MITRE-Datenbank erleichtern es, diese auf Real-World-Angriffe und die dabei verwendeten Sicherheits-Exploits zu übertragen.
Aus der Sicht eines Sicherheitsexperten betrachtet, sehen wir allerdings in der Praxis auch eine große Zahl von spezifischen Angriffen, die in zunehmenden Maße miteinander verbundene Schwachstellen-Sequenzen nutzen, um ihr Ziel zu erreichen. Und nicht mehr nur individuelle Schwachstellen und Sicherheitsprobleme.
Ein Beispiel dafür aus der jüngeren Zeit. Die berüchtigte ETERNALBLUE-Schwachstelle wurde in schwerwiegenden Angriffen wie Wannacry, Notpetya, Wannamine und bei anderen Attacken ausgenutzt. Dazu wurden drei unterschiedliche Sicherheitsprobleme beziehungsweise Schwachstellen miteinander verkettet (im Einzelnen handelt es sich um ein Casting-Problem, eines beim Parsing und eines bei der Non-paged Pool-Allokation). Diese drei Probleme, respektive Schwachstellen, wurden alle miteinander verbunden. Fehlt ein Teil, funktioniert der Angriff entweder gar nicht mehr oder er ist sehr viel weniger effektiv. Andere relevante Beispiele sind das jüngste kritische Software-Sicherheitsproblem in der Palo Alto/PulseSecure SSL VPN Software, vorgestellt auf der letzten BlackHat oder die CI/CD Jenkins-Schwachstellen. Hier werden willkürliche Lese-/Schreibdateien, Buffer Overflows, Methodenaufrufe in Java und das Umgehen von Sandbox-Anwendungen sowie weitere Schwachstellen als Teil einer Verkettung genutzt.
Das Auftreten solcher Befehlsketten, Named Chains oder zusammengesetzter Angriffsketten ist bereits seit einiger Zeit in die MITRE CWE eingegangen. Es werden Fälle besprochen, bei denen ein oder mehrere Schwachstellen oder Verkettungen zu einer neuen Sicherheitslücke oder Schwachstelle führen (beispielsweise CWE-680 Integer Overflow zu Buffer Overflow). Diese Verbesserungen erhöhen den Nutzwert der CWE T25. Aus praktischer Sicht wäre es sicher hilfreich sich bei kommenden Versionen der Liste auf solche Fälle zu konzentrieren.
Frage: Wie hilfreich sind MITRE und die CWE-Liste für Sie als Sicherheitsexperte? Und schmälert die Tatsache, dass es sich um das erste Update innerhalb vieler Jahre handelt seinen Wert?
Oleg Kolesnikov: Als Sicherheitsexperte denke ich, dass ein Update schon lange überfällig war. Die aktuelle CWE T25-Liste ist besser priorisiert und deutlich relevanter für aktuell auftretende Sicherheitsprobleme. Trotzdem bleibt anzumerken, dass einige Schwachstellen und Software-Sicherheitsprobleme als weniger gewichtig eingestuft worden sind, als erwartet. Aus unserer Erfahrung mit den jüngsten Sicherheitsschwachstellen und mit der Art und Weise wie diese in realen Angriffen ausgenutzt worden sind, wäre es vermutlich hilfreich gewesen, anders zu Gewichten. Einige der CWE, die gerade nicht mehr in den CWE T25 gelistet sind, sollten meines Erachtens nach anders priorisiert werden. Das betrifft beispielsweise CWE-918 - Server-Side Request Forgery (SSRF) und CWE-415 - Double Free (Score-2.32). Aus diesem Grund, sollte ein in sich limitierter, weil rein Daten-getriebener Ansatz, ergänzt werden. Es ist immer noch hilfreich die Security Community in die Lage zu versetzen, zukünftig mehr beizutragen. Gerade angesichts der Begrenzungen auf der einen und den wachsenden Herausforderungen auf der anderen Seite.
Frage: Eine abschließende Frage - wie hilfreich (oder weniger hilfreich) sind MITRE/CWE-Liste für IT-Sicherheitsabteilungen in Unternehmen?
Oleg Kolesnikov: MITRE und die CWE-Liste können sehr hilfreich sein, vor allem aus der Perspektive der Softwaresicherheit. Mithilfe dieses Rahmenwerks und der CWE-Liste haben Unternehmen die Möglichkeit, anfallende Aufgaben besser zu priorisieren und Unternehmenssoftware generell sicherer zu machen. Gleichzeitig bietet MITRE Kunden eine gute Grundlage, ihren Softwarelieferanten die richtigen Fragen zu stellen.
Trotzdem ist die T25-Liste wahrscheinlich nicht auf alle Anwendungsfälle übertragbar. Zum Beispiel, weil ein Unternehmen andere Bewertungskriterien anlegt, wenn es um Sicherheitsschwachstellen und deren Wirkungsgrad in einer bestimmten Umgebung geht. Die CWE/SANS Top 25 basiert auf Umfrageergebnissen und persönlichen Interviews mit Entwicklern, führenden Sicherheitsanalysten, Wissenschaftlern und Anbietern. Die 2019 CWE Top 25 basiert demgegenüber auf real existierenden Sicherheitsschwachstellen aus der NVD. Diese Vorgehensweise hat dazu beigetragen die Einordnungskriterien weniger subjektiv zu machen. Aber auch sie hat ihre Grenzen. Eine gewisse Voreingenommenheit hat MITRE ohnehin eingeräumt hinsichtlich der Tatsache, dass viele der CVE-Einträge nur sehr wenig Details zu den betreffenden Schwachstellen liefern. Für zukünftige Aktualisierungen ist MITRE sicherlich gut beraten, Beiträge der Community zu berücksichtigen und ihre Bewertung einfließen zu lassen. Allein, um blinde Flecke und Limitierungen besser zu adressieren.
Über die Integration der Taktiken, Techniken und Verfahren (TTPs) der MITRE-Wissensdatenbank in Threat Chains und den Workflow von Threat-Hunting-Anfragen moderner SIEM/SOAR-Plattformen ist es allerdings möglich, die relevanten Bedrohungen herauszufiltern und nach dem jeweils höchsten Risiko zu priorisieren. Dies erspart es Sicherheitsanalysten mit sehr viel Aufwand Korrelationen manuell herzustellen und Resultate zu untersuchen, die vielleicht nur ein geringes Risiko aufweisen. (securonix: ra)
eingetragen: 19.12.19
Newsletterlauf: 04.03.20
securonix: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.