Software-Schwachpunkte sind zunehmend ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu aufgerufen, derartige nach dem Bekanntwerden prompt zu beheben. Dabei sollten sie sich aber erst einmal auf die Software-Schwachpunkte mit dem mächtigsten Angriffspotenzial fokussieren. Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Beurteilung und dient somit als Orientierung. Wie das Common Vulnerability Scoring System im Detail funktioniert und weshalb es für Firmen essenziell ist, das IT-Sicherheitsrisiko, das von Software-Schwachstellen ausgeht, einzeln zu ermessen, offenbaren wir Ihnen im nachfolgenden Blogbeitrag.
Software ist allgegenwärtig.
Ob Kaffeeautomaten, Waschmaschinen, Smart-Home-Geräte oder auch Autos: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme sowie Dienste eine relevante, wenn nicht die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immerzu stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Innovationen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur selben Zeit wird Software aufgrund steigender Codebasis ständig komplizierter – und somit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Bekanntwerden schnellstmöglich geschlossen werden müssen.
Lediglich 2021 wurden, dem aktuellen Hacker-Powered Security Report (Link) der Sicherheitsplattform Hackerone zufolge, über 66.000 verifizierte Software-Schwachstellen gemeldet.
Aber wie können Firmen und IT-Verantwortliche unter der riesigen Menge täglich veröffentlichter Software-Schwachpunkte, jene ausfindig machen, welche das größte Sicherheitsrisiko für die IT-Systemlandschaft sind und in erster Linie beseitigt werden sollten?
Die Lösung ist: Common Vulnerability Scoring System, kurz gesagt CVSS.
Common Vulnerability Scoring System: Definition und Hintergründe!
Beim Common Vulnerability Scoring System handelt es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen und den Schweregrad von Software-Schwachstellen mittels definierter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren zeigt und jene nach einem Punktesystem von 0 bis 10 einordnet. So sind Unternehmen in der Lage die Gefährdungspotenziale, die von Software-Schwachstellen kommen, passender einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Verwundbarkeit zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, kurz NIAC, einer Fachgruppe des US-Ministeriums für Innere Sicherheit. Das Ziel war es eine kostenlose sowie standardisierte Methode zur Abschätzung von Software-Schwachstellen zu entwerfen. Inzwischen erfolgt die Weiterentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, kurz FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Base, Temporal oder doch Environmental – das ist hier die Frage!
Die Beurteilung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System anhand von drei Überprüfungen, die als Metriken betitelt werden: die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
- Grundmetrik: Die Grundmetrik stellt alle intrinsischen Eigenschaften einer Software-Schwachstelle dar. Die Werte sind zeitlich konstant und sind in unterschiedlichen Benutzerumgebungen gleich. Im Generellen fügt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
- Die Ausnutzbarkeit-Metriken spiegeln die Leichtigkeit wie auch die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgebeutet werden kann.
- Die Auswirkungen-Metriken dagegen geben die konkreten Konsequenzen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.
- zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Eigenschaften einer Software-Schwachstelle wider, welche sich im Zuge der Zeit, aber nicht über Benutzerumgebungen hinweg ändern kann. Demnach sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit gesehen, weil mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt und verfügbar werden.
- Umgebungsmetrik: Die Umgebungsmetrik stellt die Merkmale einer Software-Schwachstelle dar, die für die Situation eines definierten Benutzers relevant wie auch einzigartig sind. Zu den Überlegungen zählen das Dasein von Sicherheitskontrollen, welche etliche oder alle Folgen eines gelungenen Internetangriffs abschwächen können sowie die relative Bedeutsamkeit eines verwundbaren IT-Systems inmitten einer technologischen Landschaft.
Common Vulnerability Scoring System: Von niedrig bis kritisch!
Das Common Vulnerability Scoring System definiert nicht nur den Schweregrad von Software-Schwachstellen anhand klarer Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, bei dem der Rang bzw. CVSS-Score von 10,0 die höchste Vulnerabilität eines IT-Systems und damit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ sowie „kritisch“ eingeteilt worden.
Demnach bedeutet ein CVSS-Score:
- von 0,0 keine Verwundbarkeit
- zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
- zwischen 4,0 und 6,9 eine mittlere Verwundbarkeit
- zwischen 7,0 und 8,9 eine hohe Verwundbarkeit
- zwischen 9,0 und 10,0 eine kritische Vulnerabilität.
Common Vulnerability Scoring System: Schnelle Behebung von Software-Schwachstellen dank Priorisierung!
Der Einsatz des Common Vulnerability Scoring Systems bietet Unternehmen eine Reihe lohnender Vorteile: Zum einen betreut es die Unternehmen dabei, sämtliche Software-Schwachstellen erstmal zu schließen, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar wie auch einleuchtend, da die Schwachstellen-Beurteilung nach einheitlichen und universellen Kriterien erfolgt. Ein weiterer Vorteil liegt darin, dass sich der Standard auf unterschiedliche IT-Landschaften und IT-Systeme transferieren lässt. Außerdem gibt es Datenbanken, in welchen Unternehmen die Einstufungen identifizierter Software-Schwachstellen entnehmen können.
Ein Common Vulnerability Scoring System lohnt sich!
Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger beherrschen Nachrichten über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre erfolgreiche Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirksames sowie effizientes Instrument, welches Unternehmen dabei supportet, Prioritäten bei der Behebung und Reduzierung von IT-Schwachstellen zu platzieren. Außerdem gestattet es den Firmen Optimierungspotenziale effizienter für sich zu nutzen.
Wollen auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und auf diese Weise Ihr IT-Sicherheitsniveau erhöhen? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns!