Software-Schwachstellen sind zunehmend ein globales und kollektives Problem der IT-Sicherheit. Unternehmen sind dazu aufgerufen, derartige nach dem Bekanntwerden schnellstmöglich zu beheben. Angesichts dessen sollten sie sich aber erst einmal auf die Software-Schwachpunkte mit dem mächtigsten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System hilft bei der Begutachtung und Bewertung und eignet sich somit als Orientierung. Wie das Common Vulnerability Scoring System im Detail arbeitet und warum es für Firmen essenziell ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, einzeln einzuschätzen, offenbaren wir Ihnen im folgenden Blogbeitrag.
Software ist omnipräsent.
Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme sowie Services eine relevante, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Neuerungen, frische Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur selben Zeit wird Software aufgrund wachsender Codebasis immer komplexer – und somit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Erkennen schnellstmöglich behoben werden müssen.
Lediglich im Jahr 2021 wurden, dem aktuellen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) zufolge, über 66.000 verifizierte Software-Schwachstellen gelistet.
Doch wie können Firmen wie auch IT-Verantwortliche unter der riesigen Anzahl täglich veröffentlichter Software-Schwachpunkte, diejenigen finden, welche das größte Sicherheitsrisiko für die IT-Systemlandschaft sind und vorrangig beseitigt werden sollten?
Die Lösung lautet: Common Vulnerability Scoring System, kurz CVSS.
Common Vulnerability Scoring System: Definition und Hintergründe!
Beim Common Vulnerability Scoring System handelt es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen sowie den Schweregrad von Software-Schwachstellen mittels bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren beschreibt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Firmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen kommen, besser einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Vulnerabilität zu priorisieren.
Konzipiert wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine gebührenfreie sowie standardisierte Methode zur Abschätzung von Software-Schwachstellen zu entwerfen. Mittlerweile erfolgt die Fortentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Die drei Metriken auf einen Blick!
Die Beurteilung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System mit Hilfe von drei Messungen, welche als Metriken bezeichnet werden:
die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.
o Grundmetrik: Die Grundmetrik stellt die intrinsischen Eigenschaften der Software-Schwachstelle dar. Die Angaben sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppen von Metriken zusammen: den Ausnutzbarkeit-Metriken und den Auswirkungen-Metriken.
o Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit wie auch die technischen Mittel wider, mit welchen eine Software-Schwachstelle ausgenutzt werden kann.
o Die Auswirkungen-Metriken dagegen spiegeln die konkreten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen auf diese Weise die Effekte für den Angriffsvektor dar, der die Auswirkungen erleidet.
o zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Eigenschaften einer Software-Schwachstelle wider, die sich im Laufe der Zeit, aber nicht über Benutzerumgebungen über ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen wie offizielle Patches sowie Workarounds bekannt wie auch verfügbar werden.
o Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, welche für die Situation eines bestimmten Benutzers von Belang wie auch einmalig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, welche etliche oder alle Konsequenzen eines gelungenen Internetangriffs abschwächen können sowie die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Landschaft.
Common Vulnerability Scoring System: Die CVSS-Scores auf einen Blick!
Das Common Vulnerability Scoring System beschreibt nicht bloß den Grad von Software-Schwachstellen anhand definierter Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, bei dem der Rang bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und damit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit der Veröffentlichung der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ eingeteilt worden.
Aufgrund dessen bedeutet ein CVSS-Score
• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
• zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
• zwischen 7,0 und 8,9 eine hohe Vulnerabilität
• zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Einsatz des Common Vulnerability Scoring Systems bringt Firmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, sämtliche Software-Schwachstellen erstmal zu schließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar wie auch einleuchtend, da die Schwachstellen-Bewertung nach einheitlichen und universellen Merkmalen passiert. Ein weiterer Gewinn liegt darin, dass sich dieser Standard auf verschiedene IT-Landschaften und IT-Systeme übertragen lässt. Überdies existieren Datenbanken, in denen Firmen die Einstufungen bekannter Software-Schwachstellen finden können.
Der Einsatz von Common Vulnerability Scoring Systemen lohnt sich!
Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Meldungen über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, die durch ihre gelungene Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie effizientes Instrument, das Firmen dabei supportet, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu setzen. Ferner gestattet es den Unternehmen Optimierungsmöglichkeiten effizienter auszuschöpfen.
Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und so Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Ansuchen zum Thema? Sprechen Sie uns an!
