Patch Management
Sophos zeigt effektive Strategien bei der Patch-Priorisierung auf

Potenzielle Herausforderungen sowie Alternativen
Sophos X-Ops analysiert die Priorisierung von Schwachstellen und Patches mit verschiedenen Methoden und zeigt potenzielle Herausforderungen sowie Alternativen auf.
Die Zahl der bekannten Schwachstellen – auch als Common Vulnerabilities and Exposures (CVE) bekannt – wächst rasant. 2022 wurden 25.277 CVEs gemeldet, 2023 bereits 29.065. Für 2024 ist ein weiterer Anstieg zu erwarten. IT-Teams stehen vor der Herausforderung, diese Schwachstellen effektiv zu priorisieren und zeitnah zu patchen. Ein aktueller zweiteiliger Bericht (Teil 1) , (Teil 2) von Sophos X-Ops bietet detaillierte Einblicke in Strategien und Bewertungssysteme.
Das CVSS-System: Ein bewährter, aber begrenzter Ansatz
Das Common Vulnerability Scoring System (CVSS) ist ein langjähriger Standard zur Bewertung des Schweregrads von Schwachstellen. Mit einer Skala von 0,0 bis 10,0 wird der Schweregrad in folgende Kategorien eingeteilt:
- Keine Bedrohung: 0,0
- Gering: 0,1 – 3,9
- Mittel: 4,0 – 6,9
- Hoch: 7,0 – 8,9
- Kritisch: 9,0 – 10,0
CVSS wird in zahlreichen Branchen – wie der Payment Card Industry (PCI) – als Pflichtstandard eingesetzt. Allerdings hat das System seine Grenzen: Es bewertet nicht die Wahrscheinlichkeit, dass eine Schwachstelle von Bedrohungsakteuren ausgenutzt wird, oder den Zeitpunkt potenzieller Angriffe.
Forschungsergebnisse von Howlands zeigen beispielsweise, dass Schwachstellen mit einem CVSS-Score von 7 am häufigsten ausgenutzt werden. Überraschend ist, dass kritische Schwachstellen (Score 10) seltener Angriffsziel sind als Schwachstellen mit einem Score von 8 oder 9. Eine klare Korrelation zwischen CVSS-Bewertung und tatsächlicher Ausnutzung besteht daher nicht.
EPSS: Wahrscheinlichkeiten statt Schweregrade
Das Exploit Prediction Scoring System (EPSS) bietet eine alternative Herangehensweise. Es bewertet nicht nur den Schweregrad, sondern gibt an, wie wahrscheinlich eine Schwachstelle ausgenutzt wird. Dennoch weist Sophos X-Ops darauf hin, dass EPSS wichtige Faktoren außer Acht lässt, wie:
- Die Wahrscheinlichkeit eines gezielten Angriffs auf ein bestimmtes Unternehmen.
- Die potenziellen Folgen eines erfolgreichen Angriffs.
- Die Integration der Schwachstelle in Malware-Toolkits (z. B. von Ransomware-Gruppen).
Kombinierte Strategien für eine bessere Priorisierung
Neben CVSS und EPSS existieren weitere Ansätze wie SSVC (Stakeholder-Specific Vulnerability Categorization) oder der KEV Catalog (Known Exploited Vulnerabilities). Zwar gibt es keine perfekte Methode, doch die Kombination mehrerer Systeme bietet meist die besten Ergebnisse. Effektives Schwachstellenmanagement erfordert jedoch mehr als Tools. Idealerweise stützt sich die Priorisierung auf eine Vielzahl von Datenquellen, darunter:
- Bedrohungsinformationen.
- Sicherheitslage und Kontrollen.
- Ergebnisse von Penetrationstests und Audits.
- Risikobewertungen.
Details zu den Priorisierungsansätzen und Schwachstellenmanagement-Strategien finden Sie in den Berichten (Teil 1) , (Teil 2) von Matt Wixey, Principal Technical Editor und Senior Threat Researcher bei Sophos.