Software-Schwachstellen sind immer mehr ein globales und kollektives Problem der IT-Sicherheit. Firmen sind dazu aufgerufen, diese nach dem Bekanntwerden prompt zu beheben. Angesichts dessen sollten sie sich jedoch erst einmal auf die Software-Schwachstellen mit dem größten Angriffspotenzial konzentrieren.
Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Bewertung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Einzelnen arbeitet und weshalb es für Firmen essenziell ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln einzuschätzen, verraten wir Ihnen im nachfolgenden Beitrag.
Software ist omnipräsent.
Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme sowie Dienste eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer größeren Wertschöpfungsanteil dar und bieten ein enormes Potenzial für disruptive Innovationen, frische Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur selben Zeit wird Software aufgrund wachsender Codebasis immer komplexer – und damit anfälliger für Software-Fehler wie auch Software-Schwachstellen, die nach dem Erkennen schleunigst geschlossen werden sollten.
Allein 2021 wurden, dem aktuellen Hacker-Powered Security Report (https://www.hackerone.com/resources/reporting/hacker-powered-security-report-industry-insights-21) der Sicherheitsplattform Hackerone (https://www.hackerone.com) zufolge, über 66.000 verifizierte Software-Schwachstellen gemeldet.
Aber wie können Firmen wie auch IT-Verantwortliche unter der riesigen Anzahl täglich veröffentlichter Software-Schwachpunkte, diejenigen finden, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und vorrangig behoben werden sollten? Die Lösung ist: Common Vulnerability Scoring System, kurz CVSS.
Was ist ein Common Vulnerability Scoring System eigentlich?
Beim Common Vulnerability Scoring System dreht es sich um einen Standard, der die Verwundbarkeit von IT-Systemen und den Grad von Software-Schwachstellen mittels bestimmter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren beschreibt und jene nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Unternehmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen kommen, besser einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen entsprechend dem Grad der Verwundbarkeit zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine gebührenfreie sowie standardisierte Methode zur Abschätzung von Software-Schwachstellen zu entwerfen. Mittlerweile erfolgt die Fortentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, knapp FIRST. Aktuell liegt die Version 3.1 (Stand: 20.07.2020) des
Wie funktioniert das Common Vulnerability Scoring System?
Die Beurteilung von Software-Schwachstellen geschieht beim Common Vulnerability Scoring System mit Hilfe von drei Überprüfungen, welche als Metriken bezeichnet werden:
Die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
o Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale der Software-Schwachstelle dar. Die Werte sind zeitlich konstant und bleiben in verschiedenen Benutzerumgebungen gleich. Im Generellen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken und den Auswirkungen-Metriken.
o Die Ausnutzbarkeit-Metriken spiegeln die Leichtigkeit und die technischen Maßnahmen wider, mit welchen eine Software-Schwachstelle ausgebeutet werden kann.
o Die Auswirkungen-Metriken dagegen geben die direkten Konsequenzen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Effekte für den Angriffsvektor dar, welcher die Folgen erleidet.
o zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Laufe der Zeit, jedoch nicht über Benutzerumgebungen hinweg ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit betrachtet, da mehr und mehr Gegenmaßnahmen etwa offizielle Patches und Workarounds bekannt wie auch verfügbar werden.
o Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers von Belang und einzigartig sind. Zu den Überlegungen zählen das Vorhandensein von Sicherheitskontrollen, die etliche oder alle Folgen eines erfolgreichen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Landschaft.
Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!
Das Common Vulnerability Scoring System beschreibt nicht bloß den Schweregrad von Software-Schwachstellen anhand klarer Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, wobei der Rang beziehungsweise CVSS-Score von 10,0 die höchste Vulnerabilität eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ unterteilt worden.
Aufgrund dessen bedeutet ein CVSS-Score
• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
• zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
• zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
• zwischen 9,0 und 10,0 eine kritische Verwundbarkeit.
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Einsatz des Common Vulnerability Scoring Systems bietet Firmen eine Reihe lohnender Vorzüge: Zum einen unterstützt es die Unternehmen dabei, alle Software-Schwachstellen erstmal zu verschließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und nachvollziehbar, da die Schwachstellen-Bewertung nach gleichen sowie universellen Merkmalen erfolgt. Ein weiterer Gewinn besteht darin, dass sich der Standard auf verschiedene IT-Landschaften und IT-Systeme übertragen lässt. Überdies gibt es Datenbanken, in denen Firmen die Einstufungen bekannter Software-Schwachstellen finden können.
Ein Common Vulnerability Scoring System lohnt sich!
Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit mehreren Jahren zu. Immer öfter beherrschen Meldungen über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie leistungsfähiges Instrument, das Firmen dabei supportet, Prioritäten bei der Behebung und Minderung von IT-Schwachstellen zu platzieren. Außerdem ermöglicht es den Unternehmen Optimierungspotenziale besser für sich zu nutzen.
Wollen auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und so Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns!
