Aktuelle Alternativen umfassen verschiedene Anbieterquellen
Unabhängige Anbieter von aggregierten Schwachstelleninformationen wie Flashpoint, VulnCheck, Tenable, BitSight und andere sind eine weitere Option. „Viele dieser Anbieter bieten kuratierte Datensätze, die Schwachstellen erfassen, die von CVE oft übersehen oder verzögert gemeldet werden“, so Lefkowitz. „Sie bieten auch wichtige Kontextinformationen wie Ausnutzbarkeit, Ransomware-Risiko und soziales Risiko.“
Um diese Informationen operationalisieren zu können, müssten Unternehmen überdenken, wie sie Schwachstellen verarbeiten und darauf reagieren, merkt der Flashpoint-CEO an. „Das beginnt damit, dass Workflows von starren Abhängigkeiten von CVE/NVD entkoppelt werden. Zudem wird sichergestellt, dass die Sicherheitstools bei Bedarf auch herstellerspezifische Schwachstellenkennungen verarbeiten können.“
Nach Meinung von Lefkowitz sollte die Priorisierung von Risiken auf der Grundlage von Bedrohungsinformationen erfolgen und dabei die Verfügbarkeit von Exploit-Code, die Gefährdung von Assets und sogar die Wahrscheinlichkeit von Ransomware-Angriffen berücksichtigen. „Sicherheitsverantwortliche sollten Schwachstellenplattformen in Betracht ziehen, die sich direkt in ihre SIEMs, SOARs, Patching-Tools und Ticketing-Systeme integrieren lassen“, rät er.
