- Autor :Martin Herfurt
- Datum :25.05.2020
- Kategorie : Schwachstellen
Der IT-Wachdienst bietet - genau wie ein Wachdienst in der realen Welt - einen Service an, der Ihre “Internet-Liegenschaften” im Blick behält und verhindert, dass Einbrecher leichtes Spiel haben. Wenn wir im Zusammenhang mit durchgeführten Schwachstellen-Scans mit unseren Kunden über die gefundenen Ergebnisse sprechen, dann verwenden wir ein spezielles Vokabular. Dieses Vokabular entstammt dem Security Content Automation Protocol (SCAP), welches in vielen IT-Security Produkten verwendet wird. Dieser kurze Artikel erklärt die wichtigsten dieser SCAP-Abkürzungen.
SCAP: Eine gemeinsame Begriffswelt für Schwachstellen
Um sich bezüglich existierender Sicherheits-Schwachstellen in untersuchter IT-Infrastruktur unmissverständlich ausdrücken zu können, ist es wichtig darüber zu sprechen, was das Problem ist, wo es vorkommt und wie kritisch es ist. Wie SCAP bei dieser Herausforderung hilfreich ist, wird in den folgenden Absätzen kurz beschrieben:
Common Vulnerabilities and Exposures (CVE)
Für jede neue Sicherheits-Schwachstelle, die von der Security-Community oder Software-Herstellern bekannt gemacht wird, weist die Organisation MITRE dieser Schwachstelle eine eindeutige ID-Nummer zu. Diese CVE-ID besteht aus zwei Komponenten: der Jahreszahl in der die Schwachstelle gefunden wurde und aus einer laufenden (mittlerweile 5-stelligen) Nummer, die über den Verlauf des jeweiligen Jahres nach oben zählt.
Alle CVE-Berichte sind ähnlich strukturiert und sind in englischer Sprache verfasst. Neben einer textuellen Beschreibung der Sicherheits-Schwachstelle und der Erwähnung der Schwachstellen-Entdecker ist in CVE-Texten eine klare Bezeichnung der betroffenen Software (CPE) und eine Bewertung der Kritikalität (CVSS) der Schwachstelle enthalten.
Common Platform Enumeration (CPE)
Nachdem für Software - um so länger sie existiert - immer mehr verschiedene Versionen und Konfigurationen existieren, ist die einfache Namensbezeichnung der Software - gerade im Zusammenhang mit Sicherheits-Schwachstellen - für eine CVE-Meldung zu unpräzise.
Die CPE-Bezeichnung für Software ist eine klar strukturierte Zeichenkette. Diese Zeichenkette beginnt mit der Kennung cpe:/ und wird entweder mit dem Buchstaben a für ‘Application’ bzw. mit o für ‘Operating System’ fortgesetzt. Jeweils mit einem Doppelpunkt abgetrennt folgen danach Hersteller, Produktname und Version der betroffenen Software. Im Standard vorgesehen ist ebenfalls die Angabe von z.B. sprachspezifischen Versionen einer Software, sofern eine Schwachstelle nur in einer bestimmten Lokalisation auftritt.
Beispiel für eine CPE Kennung:
cpe:/a:qualcomm:eudora:7.1
Common Vulnerability Scoring System (CVSS)
Je nachdem wen man fragt, ist die Kritikalität einer gefundenen Sicherheitsschwachstelle einmal mehr und einmal weniger hoch. Fragt man die Person oder Gruppe, die die Schwachstelle entdeckt hat, dann werden die Auswirkungen im Zusammenhang mit der Ausnutzung der entdeckten Schwachstelle gerne etwas kritischer dargestellt. Fragt man hingegen den Hersteller der betroffenen Software, fällt die Bewertung der Kritikalität oft etwas harmloser aus.
Dieses Dilemma wird durch die CVSS-Methode aufgelöst. Das CVSS bewertet die Kritikalität einer Schwachstelle objektiv, indem die Auswirkungen der Ausnutzung der jeweiligen Schwachstelle in Bezug auf die drei Kernmetriken der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) betrachtet werden. Die Bewertung erfolgt mittels der Bezeichner “Hoch”, “Mittel” und “Niedrig” bzw. “High”, “Medium” und “Low”. Um die Kritikalitätsbewertung weiter zu präzisieren, werden Informationen darüber betrachtet, wie die Schwachstelle von Angreifern ausgenutzt werden kann. Dabei sieht man sich an, wie komplex die Schwachstelle ist und bewertet das ebenfalls mit “Hoch”, “Mittel” und “Niedrig”. Außerdem ist im Hiblick auf die Kritikalität wichtig, ob Angreifer für die Ausnutzung der Schwachstelle ein gültiges Passwort benötigen bzw. ob Angreifer sich direkt am Gerät, im gleichen Netzwerksegment oder an einem beliebigen Ort im Internet befinden können um die Schwachstelle auszunutzen.
Aus den verschiedenen Bewertungskomponenten (dem CVSS-Basisvektor) ergibt sich der sogenannte CVSS-Basisscore, welcher in vielen Vulnerability-Management Lösungen als Priorisierung für die Behebung der Sicherheitsschwachstellen verwendet wird. Der CVSS-Basisscore bewertet die Kritikalität von Schwachstellen von 0: unkritisch bis 10: hoch kritisch.
Hier eine CVSS-Berechnung am Beispiel von Heartbleed (CVE-2014-0160):
CVSS-Basisvektor: AV:N/AC:L/Au:N/C:P/I:N/A:N
Zugangsvektor: NETWORK
Zugangskomplexität: LOW
Authentifizierung: NONE
Vertraulichkeitsauswirkungen: PARTIAL
Integritätsauswirkungen: NONE
Verfügbarkeitsauswirkungen: NONE
CVSS-Basisscore: 5.0
Die amerikanische National Vulnerability Database (NVD) hat in diesem Kontext die folgende Einteilung für CVSS-Werte durchgeführt:
- hohe Kritikalität für CVSS-Werte von 7 bis 10
- mittlere Kritikalität für CVSS-Werte von 4 bis 6,9
- niedrige Kritikalität für CVSS-Werte von 0 bis 3,9
Die CVSS-Methode sieht zudem auch noch weitere Parameter für die Kritikalitätsbewertung vor. Beispielsweise wird in der detaillierteren Version der CVSS-Berechnung Rücksicht auf etwaige öffentlich verfügbare Exploits (fertige Tools zur Ausnutzung der Schwachstelle) Rücksicht genommen. Eine weitere Rolle bei der detaillierten Berechnung spielt auch die Zeit, die eine Schwachstelle bereits öffentlich bekannt ist. Viele Management-Lösungen lassen diese detaillierte CVSS-Bewertung allerdings aus technischen Gründen außer Acht.
Sehen Sie SCAP in Aktion
Jetzt, wo Sie etwas mehr über die Welt von Schwachstellen-Management kennengelernt haben, wissen Sie wie Sie Schwachstellen-Berichte richtig interpretieren.
Fordern Sie Ihren individuellen Schwachstellen-Report bei uns an!
Links
Besuchen Sie die folgenden Seiten, um mehr Details zu den jeweiligen Punkten kennenzuelernen:
https://cve.mitre.org/
https://www.cvedetails.com/
https://nvd.nist.gov/vuln-metrics/cvss