Common Vulnerability Scoring System: Priorisierung und Behebung von Software-Schwachstellen!
Software-Schwachpunkte sind immer mehr ein globales und kollektives Dilemma der IT-Sicherheit. Firmen sind dazu angehalten, derartige nach dem Erkennen prompt zu beheben. Angesichts dessen sollten sie sich jedoch erst einmal auf die Software-Schwachpunkte mit dem mächtigsten Angriffspotenzial konzentrieren. Das Common Vulnerability Scoring System ist hilfreich bei der Begutachtung und Bewertung und eignet sich somit als Leitlinie. Wie das Common Vulnerability Scoring System im Einzelnen funktioniert und warum es für Unternehmen wichtig ist, das IT-Sicherheitsrisiko, welches von Software-Schwachstellen ausgeht, einzeln einzuschätzen, offenbaren wir Ihnen im nachfolgenden Blogbeitrag.
Software ist omnipräsent.
Ob Kaffeevollautomaten, Waschmaschinen, Smart-Home-Geräte oder KFZs: In fast allem, was uns heute umgibt, spielen softwareintensive Systeme und Services eine wichtige, wenn nicht sogar die wichtigste Rolle. Primär im Geschäftsumfeld stellen sie einen immer größeren Wertschöpfungsanteil dar und eröffnen ein enormes Potenzial für disruptive Neuerungen, frische Geschäftsmodelle sowie nachhaltiges Unternehmenswachstum.
Zur gleichen Zeit wird Software aufgrund steigender Codebasis immer komplexer – und somit anfälliger für Software-Fehler und Software-Schwachstellen, die nach dem Bekanntwerden schleunigst behoben werden müssen.
Lediglich 2021 wurden, dem aktuellen Hacker-Powered Security Report der Sicherheitsplattform Hackerone zufolge, über 66.000 verifizierte Software-Schwachstellen gemeldet.
Doch wie können Unternehmen und IT-Verantwortliche unter der riesigen Menge täglich veröffentlichter Software-Schwachstellen, diejenigen ausfindig machen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen und vorrangig behoben werden müssen?
Die Antwort lautet: Common Vulnerability Scoring System, kurz CVSS.
Common Vulnerability Scoring System: Definition und Hintergründe!
Beim Common Vulnerability Scoring System handelt es sich um einen Standard, welcher die Verwundbarkeit von IT-Systemen und den Schweregrad von Software-Schwachstellen anhand definierter Metriken wie beispielsweise Angriffskomplexität oder Angriffsvektoren beschreibt und diese nach einem Punktesystem von 0 bis 10 klassifiziert. So sind Firmen in der Lage die Gefährdungspotenziale, welche von Software-Schwachstellen ausgehen, passender einzuschätzen, deren Wirkung auf die eigene IT-Infrastruktur verständlich zu kommunizieren und die Gegenmaßnahmen gemäß dem Grad der Vulnerabilität zu priorisieren.
Entworfen wurde das Common Vulnerability Scoring System im Jahr 2005 vom National Infrastructure Advisory Council, knapp NIAC, einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit. Ihr Ziel war es eine gebührenfreie und standardisierte Methode zur Bewertung von Software-Schwachstellen zu entwerfen. Inzwischen erfolgt die Weiterentwicklung des Bewertungssystems unter der Schirmherrschaft des Forum of Incident Response and Security Teams, kurz FIRST.
Derzeit liegt die Version 3.1 (Stand: 20.07.2020) des CVSS vor.
Common Vulnerability Scoring System: Auf einen Blick: Die unterschiedlichen Metriken zur differenzierten Bewertung!
Die Beurteilung von Software-Schwachstellen geschieht beim Common Vulnerability Scoring System mit Hilfe von drei Überprüfungen, die als Metriken bezeichnet werden:
die Grundmetrik, die zeitliche Metrik und die Umgebungsmetrik.
- Grundmetrik: Die Grundmetrik stellt die intrinsischen Merkmale einer Software-Schwachstelle dar. Die Werte sind zeitlich unveränderlich und bleiben in verschiedenen Benutzerumgebungen gleich. Im Allgemeinen fügt sich die Grundmetrik aus zwei Gruppierungen von Metriken zusammen: den Ausnutzbarkeit-Metriken sowie den Auswirkungen-Metriken.
- Die Ausnutzbarkeit-Metriken spiegeln die Einfachheit und die technischen Maßnahmen wider, mit denen eine Software-Schwachstelle ausgebeutet werden kann.
- Die Auswirkungen-Metriken hingegen geben die konkreten Konsequenzen einer gelungenen Ausnutzung einer Software-Schwachstelle wider und stellen so die Konsequenz für den Angriffsvektor dar, der die Auswirkungen erleidet.
- zeitliche Metrik: Die zeitliche Metrik spiegelt im Gegensatz zur Grundmetrik die Charakteristika einer Software-Schwachstelle wider, die sich im Laufe der Zeit, jedoch nicht über Benutzerumgebungen über ändern kann. Demnach sinkt die Verwundbarkeit eines IT-Systems durch eine gewisse Software-Schwachstelle über die Zeit gesehen, da mehr und mehr Gegenmaßnahmen wie offizielle Patches und Workarounds bekannt wie auch verfügbar werden.
- Umgebungsmetrik: Die Umgebungsmetrik stellt die Charakteristika einer Software-Schwachstelle dar, welche für die Umgebung eines definierten Benutzers relevant wie auch einmalig sind. Zu den Überlegungen zählen das Dasein von Sicherheitskontrollen, die etliche oder alle Konsequenzen eines erfolgreichen Internetangriffs abschwächen können und die relative Bedeutung eines verwundbaren IT-Systems inmitten einer technologischen Infrastruktur.
Common Vulnerability Scoring System: Der Schweregrad ist entscheidend!
Das Common Vulnerability Scoring System beschreibt nicht nur den Grad von Software-Schwachstellen anhand definierter Metriken. Es strukturiert diese ebenfalls nach einem Punktesystem von 0 bis 10, bei dem der Rang bzw. CVSS-Score von 10,0 die höchste Verwundbarkeit eines IT-Systems und somit dem höchsten Schweregrad einer Software-Schwachstelle entspricht.
Mit dem Release der dritten Version des Common Vulnerability Scoring Systems sind die CVSS-Scores in die Schweregrade „keine“, „niedrig“, „mittel“, „hoch“ und „kritisch“ eingeteilt worden.
Aufgrund dessen bedeutet ein CVSS-Score
- von 0,0 keine Verwundbarkeit
- zwischen 0,1 und 3,9 eine niedrige Vulnerabilität
- zwischen 4,0 und 6,9 eine mittlere Vulnerabilität
- zwischen 7,0 und 8,9 eine hohe Vulnerabilität
- zwischen 9,0 und 10,0 eine kritische Vulnerabilität.
Common Vulnerability Scoring System: Welche Vorteile ergeben sich durch den Einsatz von Common Vulnerability Scoring Systemen?
Der Gebrauch des Common Vulnerability Scoring Systems bringt Unternehmen eine Reihe lohnender Vorzüge: Zum einen betreut es die Firmen dabei, sämtliche Software-Schwachstellen erstmal zu verschließen, welche das größte Sicherheitsrisiko für ihre IT-Systemlandschaft darstellen. Zum anderen sind die identifizierten Scores für jedes Unternehmen transparent wie auch einleuchtend, weil die Schwachstellen-Bewertung nach gleichen sowie universellen Merkmalen passiert. Ein weiterer Gewinn liegt darin, dass sich der Standard auf unterschiedliche IT-Umgebungen sowie IT-Systeme transferieren lässt. Außerdem gibt es Datenbanken, in welchen Unternehmen die Einstufungen bekannter Software-Schwachstellen entnehmen können.
Ein Common Vulnerability Scoring System lohnt sich!
Die Zahl gefährlicher Software-Schwachstellen nimmt seit Jahren zu. Immer häufiger dominieren Nachrichten über gefährliche Software-Schwachstellen die Schlagzeilen – und die verheerenden Schäden, die durch ihre erfolgreiche Ausnutzung auftreten können. Das Common Vulnerability Scoring System ist ein wirkungsvolles sowie leistungsfähiges Instrument, das Firmen dabei hilft, Prioritäten bei der Beseitigung und Reduzierung von IT-Schwachstellen zu setzen. Außerdem gestattet es den Firmen Optimierungsmöglichkeiten besser für sich zu nutzen.
Möchten auch Sie Ihre IT-Schwachstellen priorisieren, Ihr Schwachstellenmanagement Schritt für Schritt ausbauen und so Ihr IT-Sicherheitsniveau aufbessern? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns!
