Warnmeldungen
Nachfolgend sind die aktuellen Parameter angeführt, die zur Entscheidungsfindung herangezogen werden, ob eine Warnmeldung im Kreis der zum Empfang registrierten liechtensteinischen Unternehmen verbreitet wird.
Vorbemerkungen
Registrierung
Wenn Sie ein liechtensteinisches Unternehmen sind, können Sie sich gerne mit Ihrer geschäftlichen E-Mail-Adresse über [email protected] für den Empfang der Warnmeldungen registrieren. Bitte geben Sie neben Ihrem vollständigen Namen, dem Namen des Unternehmens und Ihrer Position im Unternehmen auch gerne weitere Kontaktinformationen (zum Beispiel zu Ihrem PGP-Key) bekannt. Diese Informationen können die Kommunikation im Notfall beschleunigen und erleichtern.
Erwartungshaltung
Das CSIRT.LI wird aktuell mitunter keine Frühwarnungen zu Schwachstellen verbreiten, wenn diese bereits über mehrere Nachrichtenportale und andere Kanäle veröffentlicht worden sind.
Grundsätzlich werden wir keine Informationen zu Sicherheitslücken teilen, die vom betroffenen Hersteller im Zuge eines regulären Patchzyklus behoben werden. Dies betrifft insbesondere Schwachstellen, die Windows beim Patch Tuesday schliesst.
Zudem soll die auch zukünftig bewusste Zurückhaltung bei der Häufigkeit von Frühwarnungen verhindern, dass im Rauschen ständiger Warnmeldungen Informationen zu kritischen Schwachstellen untergehen (oder unsere E-Mails direkt im Spam-Ordner landen).
Eigeninitiative
Ausserdem möchten wir darauf hinweisen, dass Sie jedenfalls auch weitere Quellen für die bestenfalls tägliche Recherche von Schwachstellen nutzen sollten, die ihr Unternehmen betreffen könnten. Sehr oft ist es möglich, sich bei Herstellern zum Empfang von (Security-)Bulletins/Advisories zu registrieren, was wir Ihnen sehr empfehlen. Wenn Sie zu unserem Kundenkreis gehören, können Sie sich bezüglich Tipps für allgemeine Informationsquellen zu Schwachstellen-Informationen gerne per E-Mail an [email protected] wenden.
Fokus beim Monitoring
Sie sollten den Fokus vor allem auf jene Assets legen, welche direkt aus dem Internet ansprechbar sind (Internet exposed/facing assets), da diese von Angreifern ständig auf Schwachstellen abgeklopft werden. Es empfiehlt sich, diese Systeme zu identifizieren und aufzulisten (in einem Tool evident zu halten), um diese möglicht automatisiert auf Aktualität zu überwachen und bevorzugt zu patchen (ohne natürlich auf die anderen Assets zu vergessen).
Aktuelle Parameter für Warnmeldungen
Wenn wir uns für die Verbreitung einer Warnmeldung per E-Mail an die bei uns zum Empfang von Warnmeldungen registrierten liechtensteinischen Unternehmen entscheiden, haben wir die Information zu einer Schwachstelle in der Regel positiv auf folgende Parameter beurteilt (Ausnahmen vorbehalten, bei denen es trotzdem dringlich erscheint):
- Es handelt sich um eine weit verbreitete Software.
- Die Schwachstelle kann leicht ausgenutzt werden. Indikatoren dafür sind,
- dass sich ein Angreifer nicht im Netz der verwundbaren Organisation befinden muss, um den Angriff auszuführen (aus der Ferne/Remote Code Execution (RCE)) und der Angriff ohne Authentisierung möglich ist.
- dass der Angriff ohne Zutun des Nutzers oder durch alltägliche Nutzerinteraktion (wie das Öffnen von Dateien, das Surfen im Netz, usw.) möglich ist.
In vielen Fällen haben Schwachstellen, die sich für eine Warnung qualifizieren, ein hohes CVSS Rating (High oder Critical) und einen hohen CVSS-Score. Dies ist jedoch keine explizite Voraussetzung für eine Warnung, da ein hoher Score lediglich Rückschlüsse über die hypothetische Schädlichkeit zulässt, nicht jedoch darüber, wie komplex deren Ausnutzung ist bzw. wovon diese abhängt und ob die Schwachstelle daher in der Praxis grosse Relevanz hat.