Anzeige

Cyber Security Tools

Wenn ein Tool für Anwendungssicherheit im Einsatz ist, gibt es mehrere Kennzahlen, anhand derer sich die Effizienz des Tools ablesen und optimieren lässt. Typischerweise achten Unternehmen dabei auf Faktoren wie Scan Rate, Flaw Density und Compliance.

Allerdings verfolgen nur relativ wenige Anwender die sogenannte Fix Rate, obwohl diese ein wichtiger Indikator in Sachen Sicherheit ist. Die Fix Rate gibt an, wie lange es dauert, bis ein Team die Sicherheitslücken behebt, die bei Scans gefunden werden. Sie errechnet sich folgendermaßen:

Fix Rate = Fixed Flaws / (Fixed + Open Flaws)

Betrachtet man die Fix Rate über einen gewissen Zeitraum, erkennt man die durchschnittliche Geschwindigkeit, mit der Sicherheitslücken geschlossen werden.

Kennzahlen wie Scan Rate und Compliance sind zweifellos von hoher Bedeutung, doch die Fix Rate nimmt eine besonders wichtige Position ein, denn letztendlich reicht es nicht, Schwachstellen nur ausfindig zu machen – solange sie nicht behoben sind, bleiben sie ein Risiko.

Wie hoch ist die durchschnittliche Fix Rate?

Für den Bericht State of Software Security Vol. 9 (SoSS) hat Veracode Daten aus 700.000 Scans analysiert, die über einen Zeitraum von 12 Monaten zwischen April 2017 und März 2018 durchgeführt wurden. Dabei entstand ein klares Bild davon, wie es um Fix Rates bestellt ist.

Die durchschnittliche Zeitspanne zwischen der Entdeckung einer Schwachstelle und deren Behebung ist alarmierend. Innerhalb einer Woche werden nur etwa 15 Prozent der entdeckten Sicherheitslücken geschlossen. Innerhalb eines Monats steigt die Rate auf 30 Prozent. Nach drei Monaten sind es gerade einmal 45 Prozent.

Betrachtet man die Fix Rates nach Fehlertypen, stellt sich heraus, dass Unternehmen großen Aufwand betreiben, um ihre kritischsten Sicherheitslücken zeitnah zu schließen. 75 Prozent dieser Sicherheitslücken werden 100 Tage früher behoben als vermeintlich weniger gefährliche Schwachstellen.

Warum sind Fix Rates wichtig?

Geschwindigkeit ist entscheidend, wenn es um Anwendungssicherheit geht. Hacker benötigen allenfalls Stunden oder Tage, um Exploits für neu entdeckte Schwachstellen zu finden. Erkannte Schwachstellen nicht sofort zu beheben stellt ein erhebliches Risiko dar – besonders wenn es sich dabei um Schwachstellen mit hohem Schweregrad handelt.

Selbstverständlich müssen schwerwiegende Sicherheitslücken unverzüglich geschlossen werden. Dennoch sind die schlechten Fix Rates für „kleinere“ Schwachstellen ein signifikantes Problem. Oftmals erweisen sich Sicherheitslücken mit geringem Schweregrad als besonders riskant. Auch ein geringfügiger Informations-Leak kann genau das richtige Maß an Systemwissen liefern, das ein Angreifer benötigt.

Die entscheidende Frage lautet: Was könnten Unternehmen tun, um ihre Fix Rates zu verbessern?

1. Prioritäten richtig setzen

Unternehmen müssen eine effektive Methode zur Priorisierung von Schwachstellen entwickeln.

Nicht alle Apps erfordern im Security-Kontext das gleiche Maß an Aufmerksamkeit. Bei einer Anwendung, die öffentlich zugänglich ist und Komponenten von Drittanbietern enthält, sollten alle mittleren bis kritischen Schwachstellen unverzüglich behoben werden. Darüber hinaus sollte man sich nicht nur darüber im Klaren sein, wie schwerwiegend eine Schwachstelle ist, sondern auch, welche Möglichkeiten es gibt, sie auszunutzen.

2. Mehr scannen

Der neueste SoSS Report zeigt, dass die Unternehmen, die am häufigsten scannen auch die höchsten Fix Rates aufweisen. Die Daten zeigen einen starken Zusammenhang zwischen der Scan Rate und der Geschwindigkeit, mit der Schwachstellen behoben werden. Jeder Schritt zur Erhöhung der Scan Rate führt zu kürzeren Fix-Intervallen. Dieser Prozess des regelmäßigen Scannens und der damit verbundenen graduellen Behebung von Schwachstellen kann unter dem Begriff „DevSecOps“ zusammengefasst werden.

3. Mehr Prävention

Wenn Programmierer über die nötigen Fähigkeiten verfügen, können Sicherheitslücken in vielen Fällen von vornherein vermieden werden, was sowohl Kapazitäten für ihre spätere Behebung spart, als auch Risiken verringert. Die meisten Entwickler sind im Hinblick auf sicheres Coding jedoch nicht geschult. Die Forschung von Veracode hat gezeigt, dass sich die Fix Rate von Unternehmen erheblich verbessert, wenn Entwickler eine entsprechende Fortbildung erhalten. Wer seinem Entwickler-Team E-Learning-Angebote zur sicheren Programmierung anbietet, kann seine Fix Rate erheblich verbessern.

www.veracode.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!