Das Schwachstellen-Bewertungssystem im Überblick!
Software-Schwachstellen sind zunehmend ein globales und kollektives Problem der IT-Sicherheit. Firmen sind dazu aufgerufen, derartige nach dem Bekanntwerden schnellstmöglich zu beheben. Angesichts dessen sollten sie sich jedoch erst einmal auf die Software-Schwachstellen mit dem mächtigsten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System hilft bei der Einschätzung und Beurteilung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Detail funktioniert und warum es für Unternehmen wichtig ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, individuell einzuschätzen, offenbaren wir Ihnen im nachfolgenden Blogbeitrag.
Software ist omnipräsent.
Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Fernseher oder KFZs: In sämtlichem, was uns heute umgibt, spielen softwareintensive Systeme und Dienste eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer stärkeren Wertschöpfungsanteil dar und eröffnen ein großes Potenzial für disruptive Neuerungen, neue Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur gleichen Zeit wird Software dank steigender Codebasis ständig komplizierter – und somit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Erkennen schleunigst behoben werden müssen.
Lediglich 2021 wurden, dem aktuellen Hacker-Powered Security Report der Sicherheitsplattform Hackerone entsprechend, mehr als 66.000 verifizierte Software-Schwachstellen gemeldet.
Aber wie können Unternehmen wie auch IT-Verantwortliche unter der beträchtlichen Menge täglich veröffentlichter Software-Schwachstellen, diejenigen finden, welche das größte Sicherheitsrisiko für die IT-Systemlandschaft sind und vorrangig behoben werden sollten?
Die Antwort lautet: Common Vulnerability Scoring System, kurz CVSS.
Was versteht man unter einem Vulnerability Scoring System?
Beim Common Vulnerability Scoring System dreht es sich um einen Maßstab, welcher die Vulnerabilität von IT-Systemen sowie den Grad von Software-Schwachstellen mittels bestimmter Metriken wie etwa Angriffskomplexität oder Angriffsvektoren beschreibt und jene nach einem Punktesystem von 0 bis 10 einordnet. So sind Firmen in der Lage die Gefährdungspotenziale, die von Software-Schwachstellen ausgehen, besser einzuschätzen, ihre Auswirkung auf die eigene IT-Infrastruktur einheitlich zu kommunizieren sowie die Gegenmaßnahmen gemäß dem Schweregrad der Verwundbarkeit zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine gebührenfreie und standardisierte Methode zur Abschätzung von Software-Schwachstellen bereitzustellen. Inzwischen geschieht die Fortentwicklung des Bewertungssystems unter der Führung des Forum of Incident Response and Security Teams, knapp FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Die Metriken und das Punktesystem auf einen Blick!
Die Bewertung von Software-Schwachstellen erfolgt beim Common Vulnerability Scoring System anhand von drei Überprüfungen, die als Metriken betitelt werden:
die Grundmetrik, die zeitliche Metrik sowie die Umgebungsmetrik.
- Grundmetrik: Die Grundmetrik stellt alle intrinsischen Eigenschaften einer Software-Schwachstelle dar. Die Angaben sind zeitlich konstant und bleiben in verschiedenen Benutzerumgebungen gleich. Im Allgemeinen setzt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
- Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Mittel wider, mit denen eine Software-Schwachstelle ausgenutzt werden kann.
- Die Auswirkungen-Metriken hingegen spiegeln die konkreten Folgen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, welcher die Folgen erleidet.
- zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegenteil zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, welche sich im Laufe der Zeit, jedoch nicht über Benutzerumgebungen hinweg ändern kann. Darum sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit betrachtet, weil mehr und mehr Gegenmaßnahmen etwa offizielle Patches sowie Workarounds bekannt wie auch verfügbar werden.
- Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, welche für die Umgebung eines bestimmten Benutzers relevant wie auch einzigartig sind. Zu den Abwägungen zählen das Dasein von Sicherheitskontrollen, welche einige oder alle Folgen eines erfolgreichen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems innerhalb einer technologischen Infrastruktur.
Common Vulnerability Scoring System: Welche Schweregrade gibt es?
Das Common Vulnerability Scoring System beschreibt nicht bloß den Grad von Software-Schwachstellen anhand definierter Metriken. Es klassifiziert diese auch nach einem Punktesystem von 0 bis 10, bei dem der Rang beziehungsweise CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Grad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Grade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ unterteilt worden.
Aufgrund dessen bedeutet ein CVSS-Score
• von 0,0 keine Verwundbarkeit
• zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
• zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
• zwischen 7,0 und 8,9 eine hohe Vulnerabilität
• zwischen 9,0 und 10,0 eine kritische Vulnerabilität.
Common Vulnerability Scoring System: Welche Vorteile ergeben sich durch den Einsatz von Common Vulnerability Scoring Systemen?
Der Gebrauch des Common Vulnerability Scoring Systems bietet Firmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, alle Software-Schwachstellen vorrangig zu schließen, die das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen erkennbar und einleuchtend, da die Schwachstellen-Beurteilung nach einheitlichen und universellen Kriterien passiert. Ein weiterer Vorteil liegt darin, dass sich dieser Standard auf unterschiedliche IT-Umgebungen und IT-Systeme übertragen lässt. Außerdem gibt es Datenbanken, in welchen Firmen die Einstufungen bekannter Software-Schwachstellen entnehmen können.
Ein Common Vulnerability Scoring System lohnt sich!
Die Häufigkeit gefährlicher Software-Schwachstellen nimmt seit mehreren Jahren zu. Immer öfter dominieren Nachrichten über bedenkliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schädigungen, die durch ihre gelungene Ausnutzung entstehen können. Das Common Vulnerability Scoring System ist ein wirksames und leistungsfähiges Instrument, das Unternehmen dabei supportet, Prioritäten bei der Behebung und Reduzierung von IT-Schwachstellen zu platzieren. Außerdem ermöglicht es den Unternehmen Optimierungspotenziale effizienter für sich zu nutzen.
Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und so Ihr IT-Sicherheitsniveau aufbessern?
Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!