Von ZDI unterstützte Schwachstellen aus der TrendAI™ Zero Day Initiative (ZDI) werden im Threat and Exposure Management angezeigt und bieten frühzeitige Einblicke in schwerwiegende Schwachstellen vor deren öffentlicher Bekanntgabe.
TrendAI Vision One™ integriert Informationen aus der TrendAI™ Zero Day Initiative (ZDI), dem weltweit größten herstellerunabhängigen Bug-Bounty-Programm,
um Risikoevents für Schwachstellen zu generieren, die noch nicht öffentlich bekannt
gemacht wurden. Wenn ZDI-Forscher eine Sicherheitslücke entdecken, bleiben die Details
der Sicherheitslücke vertraulich, während der betroffene Anbieter eine Lösung entwickelt.
Durch ZDI-gestützte Schwachstellen erhalten Sie eine frühzeitige Warnung während dieser
Vorveröffentlichungsphase, sodass Sie Schutzmaßnahmen ergreifen können, bevor eine
öffentliche Warnung oder CVE veröffentlicht wird.
Der ZDI-Prozess zur verantwortungsvollen Offenlegung folgt diesen Phasen:
-
Sicherheitsforscher reichen eine Sicherheitslücke bei ZDI ein.
-
ZDI weist eine interne Vorveröffentlichungs-Tracking-Identifikationsnummer namens ZDI-CAN-ID zu (zum Beispiel ZDI-CAN-28894) und benachrichtigt den betroffenen Anbieter.
-
Der Anbieter hat in der Regel 120 Tage Zeit, um eine Lösung zu entwickeln und bereitzustellen.
-
Bei der öffentlichen Offenlegung veröffentlicht ZDI eine Empfehlung mit einer ZDI-ID (zum Beispiel ZDI-25-423). Wenn der Anbieter die Sicherheitslücke anerkennt, wird eine CVE-ID vergeben. Einige Schwachstellen erhalten möglicherweise nie eine CVE-ID.
TrendAI Vision One™ generiert die folgenden Risikoereignistypen basierend auf der Offenlegungsphase einer
ZDI-Sicherheitslücke. Jedes Asset erhält ein Risikoereignis pro Sicherheitslücke.
ZDI-gestützte Sicherheitslücken sind mit allen zugehörigen CVE-Risikoereignissen verknüpft
und werden nicht für dieselbe Sicherheitslücke auf demselben Asset dupliziert.
ZDI-gestützte Risikoereignistypen
|
Risiko-Ereignistyp
|
Beschreibung
|
Offenlegungsphase
|
|
ZDI-Sicherheitslücke-Warnung
|
Generiert, wenn ein Asset erkannt wird, das eine Softwareversion ausführt, die von
einer vorab offengelegten ZDI-Sicherheitslücke betroffen ist. Details zur Sicherheitslücke
werden erst offengelegt, wenn der Anbieter-Patch verfügbar ist oder die ZDI-Offenlegungsfrist
abgelaufen ist.
|
Vorab-Offenlegung (nur ZDI-CAN-ID)
|
|
Zeitkritische Sicherheitslückenwarnung
|
Generiert, wenn ZDI eine Sicherheitslücke öffentlich bekannt gibt und ein Asset als
betroffen erkannt wird. Die Sicherheitslücke kann eine Zero-Day-Sicherheitslücke (kein
Patch verfügbar) oder eine N-Day-Sicherheitslücke (Patch verfügbar, aber noch nicht
angewendet) sein.
|
Nach Offenlegung (ZDI-ID zugewiesen)
|
Das ZDI-Sicherheitslückenprofil enthält einen Offenlegungszeitplan, der den vollständigen
Lebenszyklus einer ZDI-Sicherheitslücke zeigt, von der ersten Entdeckung über die
Benachrichtigung des Anbieters, die Verfügbarkeit von Angriffsschutz-/Erkennungsregeln,
die öffentliche Offenlegung bis hin zur Veröffentlichung des Patches. Der Zeitplan
wird aktualisiert, während die Sicherheitslücke jede Phase durchläuft.
ZDI-gestützte Schwachstellen werden in Threat and Exposure Management mit einem ZDI-Abzeichen gekennzeichnet. Um eine bestimmte ZDI-Sicherheitslücke anhand
der Kennung zu finden, suchen Sie nach der ZDI-CAN-ID oder ZDI-ID. Wenn eine CVE zugewiesen
wurde, kann die Sicherheitslücke dennoch mit der ZDI-Kennung gefunden werden.
Jedes ZDI-Sicherheitslückenprofil zeigt folgende Informationen.
Details zum ZDI-Sicherheitslückenprofil
|
Details
|
Beschreibung
|
|
Common Vulnerability Scoring System (CVSS)-Wert
|
Schweregrad basierend auf den Merkmalen der Sicherheitslücke.
|
|
Betroffener Anbieter und Produkte
|
Die Hersteller- und Produktnamen, die mit der Sicherheitslücke verbunden sind.
|
|
Verwundbare Versionen
|
Validierte, bestätigte anfällige Versionen und möglicherweise anfällige Versionen
basierend auf verfügbaren Informationen.
|
|
Offenlegungszeitplan
|
A phased view of the vulnerability lifecycle showing vendor notification, attack prevention/detection
rule availability, public disclosure, and patch release milestones.
|
|
Angriffspräventions-/Erkennungsregeln
|
Angriffspräventions-/Erkennungsregeln für die Sicherheitslücke verfügbar, angewendet
durch TrendAI Vision One™ Funktionen wie Netzwerksicherheit oder Endpunktsicherheit.
|
|
Minderungsoptionen
|
Vorgeschlagene Maßnahmen zur Verringerung der Risikobelastung des betroffenen Vermögenswerts.
|
|
Verweise
|
Links zu der ZDI-Beratung und anderen relevanten Quellen.
|
Wenn eine durch ZDI unterstützte Sicherheitslücke auf einem Asset erkannt wird, können
Sie die Ausnutzung durch die folgenden Minderungsmaßnahmen verhindern.
Minderungsmaßnahmen für ZDI-Risikoereignisse
|
Messen
|
Beschreibung
|
|
Angriffspräventions-/Erkennungsregeln anwenden
|
Wenn Regeln zur Angriffsprävention/-erkennung für die Sicherheitslücke verfügbar sind,
wenden Sie diese über die vorgeschlagene Funktion an, um das Risiko zu verringern,
während ein offizieller Anbieter-Patch in Entwicklung ist.
|
|
Isolieren Sie den betroffenen Endpunkt
|
Isolieren Sie den betroffenen Endpunkt, um die Ausbreitung einer möglichen Bedrohung
zu verhindern, insbesondere wenn keine Angriffsschutz-/Erkennungsregel verfügbar ist
oder ein aktiver Missbrauch vermutet wird.
|
|
Begrenzen Sie die Anwendungsfreigabe
|
Für Schwachstellen in Windows-Anwendungen gehen Sie zu , suchen Sie die betroffene Anwendung und markieren Sie die Anwendung als Nicht vertrauenswürdig, um zu verhindern, dass die Anwendung ausgeführt wird, bis ein Patch verfügbar ist.
|
|
Überwachung erhöhen
|
Erhöhen Sie die Überwachung des betroffenen Assets, um ungewöhnliche Aktivitäten frühzeitig
zu erkennen und potenzielle Ausnutzungsversuche zu identifizieren.
|
|
Planen Sie im Voraus für das Patchen
|
ZDI-gestützte Schwachstellen bieten eine Vorabinformation, bevor ein Anbieter-Patch
öffentlich verfügbar ist. Nutzen Sie die Vorlaufzeit, um Patch-Workflows vorzubereiten,
damit betroffene Assets umgehend gepatcht werden können, sobald ein Fix veröffentlicht
wird.
|