Common Vulnerability Scoring System: Priorisierung und Behebung von Software-Schwachstellen!
Software-Schwachpunkte sind immer mehr ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu aufgerufen, diese nach dem Bekanntwerden prompt zu schließen. Angesichts dessen sollten sie sich aber zunächst einmal auf die Software-Schwachstellen mit dem mächtigsten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Bewertung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Einzelnen arbeitet und weshalb es für Unternehmen wichtig ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln zu ermessen, offenbaren wir im nachfolgenden Beitrag.
Software ist omnipräsent.
Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Geräte oder Autos: In fast allem, was uns heutzutage umgibt, spielen softwareintensive Systeme und Dienste eine relevante, wenn nicht sogar die wichtigste Rolle. Insbesondere im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Innovationen, neue Geschäftsmodelle und nachhaltiges Unternehmenswachstum.
Zur selben Zeit wird Software dank steigender Codebasis immer komplizierter – und somit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Bekanntwerden schnellstmöglich geschlossen werden müssen.
Lediglich 2021 wurden, dem gegenwärtigen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, über 66.000 verifizierte Software-Schwachstellen gemeldet.
Doch wie können Firmen und IT-Verantwortliche unter der riesigen Menge täglich veröffentlichter Software-Schwachpunkte, jene finden, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft sind und in erster Linie behoben werden sollten?
Die Lösung lautet: Common Vulnerability Scoring System, kurz gesagt CVSS.
Was versteht man unter einem Vulnerability Scoring System?
Beim Common Vulnerability Scoring System handelt es sich um einen Standard, der die Verwundbarkeit von IT-Systemen und den Schweregrad von Software-Schwachstellen anhand definierter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren zeigt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. Auf diese Weise sind Firmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Auswirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren sowie die Gegenmaßnahmen entsprechend dem Grad der Vulnerabilität zu priorisieren.
Konzipiert wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine kostenlose sowie standardisierte Möglichkeit zur Abschätzung von Software-Schwachstellen zu entwerfen. Mittlerweile geschieht die Fortentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, knapp FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Von niedrig bis kritisch!
Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mithilfe von drei Überprüfungen, die als Metriken betitelt werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
o Grundmetrik: Die Grundmetrik stellt die intrinsischen Eigenschaften einer Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken und den Auswirkungen-Metriken.
o Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit wie auch die technischen Mittel wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
o Die Auswirkungen-Metriken hingegen spiegeln die direkten Folgen einer erfolgreichen Ausnutzung einer Software-Schwachstelle wider und stellen auf diese Weise die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.
o zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegenteil zur Grundmetrik die Eigenschaften einer Software-Schwachstelle wider, die sich im Laufe der Zeit, jedoch nicht über Benutzerumgebungen über ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine bestimmte Software-Schwachstelle über die Zeit gesehen, da mehr und mehr Gegenmaßnahmen etwa offizielle Patches sowie Workarounds bekannt wie auch verfügbar werden.
o Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, welche für die Situation eines definierten Benutzers relevant und einmalig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, die etliche oder alle Folgen eines gelungenen Internetangriffs abmildern können und die relative Bedeutsamkeit eines verwundbaren IT-Systems innerhalb einer technologischen Infrastruktur.
Common Vulnerability Scoring System: Software-Schwachstelle ist nicht gleich Software-Schwachstelle!
Das Common Vulnerability Scoring System beschreibt nicht bloß den Grad von Software-Schwachstellen anhand klarer Metriken. Es klassifiziert diese ebenfalls nach einem Punktesystem von 0 bis 10, bei dem der Rang beziehungsweise CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Grad einer Software-Schwachstelle entspricht.
Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ eingeteilt worden.
Aufgrund dessen heißt ein CVSS-Score
• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Verwundbarkeit
• zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
• zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
• zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Gebrauch des Common Vulnerability Scoring Systems bringt Unternehmen eine Reihe lohnender Vorteile: Zum einen betreut es die Unternehmen dabei, sämtliche Software-Schwachstellen vorrangig zu verschließen, welche das größte Sicherheitsrisiko für deren IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch einleuchtend, da die Schwachstellen-Bewertung nach gleichen und universellen Kriterien passiert. Ein weiterer Gewinn besteht darin, dass sich der Standard auf unterschiedliche IT-Umgebungen und IT-Systeme übertragen lässt. Außerdem existieren Datenbanken, in denen Unternehmen die Einstufungen identifizierter Software-Schwachstellen finden können.
Mehr IT-Sicherheit durch Schwachstellenpriorisierung!
Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Meldungen über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirksames und leistungsfähiges Instrument, das Firmen dabei supportet, Prioritäten bei der Behebung und Reduzierung von IT-Schwachstellen zu setzen. Ferner ermöglicht es den Unternehmen Optimierungspotenziale besser auszuschöpfen.
Willst auch Du Deine IT-Schwachstellen priorisieren, Dein Schwachstellenmanagement schrittweise ausbauen und so dein IT-Sicherheitsniveau erhöhen? Oder hast Du noch Fragen zum Thema? Sprich uns an!