Anzeige

Offenes Schloss

Um kontinuierlich neue Sicherheitslücken ausfindig zu machen, verwenden Sicherheitsunternehmen häufig interne Softwarelösungen, die Informationen aus verschiedenen Datenquellen wie Schwachstellendatenbanken, Newslettern, Foren, sozialen Medien und mehr sammeln.

Diese Software vereint die Daten aus allen Quellen in einem einzigen Repository und bewertet die Priorität jeder Schwachstelle. Mit diesen Ergebnissen sind Sicherheitsverantwortliche in der einzigartigen Lage, eine Analyse aller Webanwendungs- und Datenbankschwachstellen über das ganze Jahr hinweg durchzuführen, Trends zu erkennen und signifikante Veränderungen in der Sicherheitslandschaft zu erkennen. Imperva hat in diesem Jahr den Klassifizierungsalgorithmus seiner Untersuchungen an die OWASP definierten Kategorien angepasst, um genauere Ergebnisse bei der Klassifizierung von Schwachstellen zu erhalten.

Vulnerabilities into OWASP categories

Dabei wurden alle Ergebnisse aus 2019 und den Vorjahren auf der Grundlage des neuen Klassifizierungsalgorithmus abgeglichen. Durch die neue Kategorisierung kann es vorkommen, dass eine Schwachstelle mehreren Kategorien zugeordnet werden muss. So dass die Gesamtzahl der Schwachstellen aus den Einzelkategorien höher scheint, als sie eigentlich ist. Kann eine gefundene Schwachstelle auf unterschiedliche Weise ausgenutzt werden, wurde sie entsprechend allen Kategorien zugeordnet, in denen sie sich manifestieren kann. Eine solche Übersicht stellt laut dem Sicherheitsexperten ein genaueres Gesamtbild der aktuellen Schwachstellen dar. Imperva hat einen Blick zurück auf das Jahr 2019 geworfen und die Veränderungen und Trends in der Webanwendungs- und Datenbanksicherheit zusammengefasst.

Wie bereits in den vergangenen Jahren wurde auch in 2019 ein Zuwachs an Schwachstellen festgestellt. Laut den Untersuchungen von Imperva war im letzten Jahr die „Injection“ mit Abstand die dominierende Kategorie für Schwachstellen. Ein großer Anteil davon stand im

Zusammenhang mit Remote Code/ Command Execution (RCE). Die zweithäufigste Kategorie ist das „Cross-Site-Scripting (XSS)“, deren Schwachstellen 2019 hauptsächlich aus Reflected XSS-Schwachstellen bestanden. Ebenfalls war ein Anstieg von Schwachstellen in Komponenten von Drittanbietern im Vergleich zum Vorjahr zu beobachten. Die meisten Schwachstellen hingen dabei mit WordPress-Plugins zusammen. Im Gegensatz dazu war bei der Anzahl der IoT-Schwachstellen ein unerwarteter Rückgang zu verzeichnen, obwohl die Anzahl der IoT-Geräte auf dem Markt zunahm.

Wie erwartet, wächst die Zahl der Schwachstellen in APIs (Application Programming Interface) weiter. In der Kategorie der „Content-Management-Systeme“ war WordPress nicht nur die beliebteste Plattform, sondern dominierte auch die Zahl der neuen Schwachstellen im Jahr 2019. In der Kategorie der „serverseitigen Technologien“ wurde PHP – die am weitesten verbreitete serverseitige Skriptsprache – mit der höchsten Anzahl von Schwachstellen in Verbindung gebracht. MySQL scheint mit 59 Prozent der gesamten Schwachstellen, die im letzten Jahr entdeckt wurden, die meisten Sicherheitslücken bei allen populären Datenbanken aufzuweisen. Die häufigste Schwachstelle in Datenbanken war dabei der Denial-of-Service (DoS).

Darüber hinaus ergab die Social-Media-Analyse, die Imperva auf twitter.com durchgeführt hat, Unstimmigkeiten beim CSSV-Score (Common Vulnerability Scoring System). Dieser korreliert nicht unbedingt mit der Popularität der Schwachstelle (zumindest in den sozialen Medien), obwohl sich der Großteil der Branche auf ihn als Anhaltspunkt verlässt, um System-Patchings zu priorisieren.

Number of Vulnerability

Schwachstellen-Überblick 2019:

  • Die Gesamtzahl der neuen Schwachstellen steigt: Im Jahr 2019 ist die Anzahl an Schwachstellen (20.362) um 17,6 Prozent gegenüber 2018 (17.308) und um 44,5 Prozent gegenüber 2017 (14.086) gestiegen.
     
  • Die Anzahl mittelschwerer bis kritischer Schwachstellen ist hoch: Bei der Einteilung der Schwachstellen nach dem CVSS wurden 8 Prozent als gering oder gar nicht schwer eingestuft, 61 Prozent wurden als mittel eingestuft, während 18 Prozent als hoch und 13 Prozent als kritisch eingestuft wurden.
     
  • Bislang keine Lösung greifbar: Bei über einem Drittel (40,2 Prozent) der Schwachstellen ist aktuell keine Lösung – wie beispielsweise ein Softwareupgrade, eine Software zum Umgehen der Schwachstelle oder ein Software-Patch – verfügbar.

Anwendungen und Daten vor Schwachstellen schützen

Eine der besten Lösungen für den Schutz vor Schwachstellen in Webanwendungen und Datenbanken ist der Einsatz einer Web Application Firewall (WAF) und von Software zur Datenüberwachung und zum Datenschutz. Unternehmen setzen die Programme entweder On-Premises, in der Cloud oder als Hybrid-Lösung angepasst an die jeweiligen Bedürfnisse der IT-Infrastruktur ein. Da Unternehmen verstärkt ihre Anwendungen und Daten in die Cloud verlagern, ist es wichtig für Unternehmen, die Sicherheitsanforderungen auch dahingehend zu durchdenken. Eine Lösung, die von einem engagierten Sicherheitsteam unterstützt wird, bietet Konzernen viele Vorteile, denn die externen Sicherheitsteams können zeitnahe Sicherheitsupdates einspielen, um die Anlagen schnellstmöglich ordnungsgemäß zu schützen.

www.imperva.com
 

 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken in Q4 2019 gegenüber Vorjahr fast verdoppelt

Die Anzahl der durch Kaspersky DDoS Protection blockierten Angriffe im vierten Quartal 2018 macht nur 56 Prozent der im selben Quartal 2019 entdeckten und blockierten Angriffe aus. Mehr als ein Viertel (27,65 Prozent) der Attacken fand dabei am Wochenende…
Apps Digital

Apps treiben digitalen Wandel in Europa voran

Gemäß der sechsten Ausgabe des „State of Application Services“ (SOAS) Reports haben 91 Prozent der befragten Unternehmen der EMEA-Region explizite Pläne für die digitale Transformation in Arbeit. Im Vergleich dazu sind es 84 Prozent in den USA und 82 Prozent…
DDoS

DDoS-Report: Steigende Komplexität und Volumen der Attacken

Der Anteil komplexer Multivektor-Attacken ist auf 65 % gestiegen, der größte abgewehrte Angriff erreichte ein Maximum von 724 Gbps, so der Bericht der IT-Sicherheitsexperten.
Businessman Kämpfer

Was ist der beste Schutz vor Sabotage, Diebstahl oder Spionage?

Die deutsche Wirtschaft ist sich einig: Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete…
Performance

Performance ist ausschlaggebend für die Geschäftsentwicklung

Riverbed gibt die Ergebnisse seiner aktuellen Umfrage bekannt: 70% der Entscheidungsträger der C-Suite in Deutschland sind der Meinung, dass eine verbesserte Transparenz der Netzwerk- und Anwendungsperformance Business-Innovationen und Mitarbeiterbindung…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!