Springe zum Hauptinhalt

2009-05: Common Vulnerability Scoring System

Täg­lich steht je­der IT­-­Ad­mi­ni­sta­tor vor dem­sel­ben, gro­ßen Pro­blem: Ei­ne Flut an Si­cher­heits­lü­cken und da­zu­ge­hö­ri­ger Pat­ches war­tet dar­auf, be­ur­teilt zu wer­den. Der Ad­min steht je­des­mal vor der schwie­ri­gen Fra­ge: Wel­chem Patch soll ich mich als ers­tes zu­wen­den? Wie ge­fähr­lich ist ei­ne Si­cher­heits­lü­cke, wie drin­gend ist es al­so, den Pat­ch, ein­zu­spie­len? Glü­ck­li­cher­wei­se gibt es Me­tho­den wie et­wa das „Com­mon Vul­ne­ra­bi­li­ty Sco­ring Sys­tem“ (CVSS), das Ad­mins da­bei wir­kungs­voll un­ter­stütz­t, all die­se Ri­si­ken schnel­ler und bes­ser ein­schät­zen und da­mit Pri­o­ri­tä­ten set­zen zu kön­nen. Es lohnt sich auf je­den Fall, sich da­mit et­was nä­her aus­ein­an­der­zu­set­zen.

Eine CVSS-Bewertung besteht aus drei Teilen:

Die Ba­sis­be­wer­tung (ba­se me­trics) be­schreibt die Ge­fähr­lich­keit der Schwach­stel­le. Da­zu ge­hö­ren, ob die Schwach­stel­le über das Netz­werk aus­ge­nutzt wer­den kann, der An­grei­fer die Hür­de ei­ner Au­then­ti­fi­zie­rung neh­men muss und wie kom­plex der An­griff ist. Auch die Be­ein­träch­ti­gung der drei klas­si­schen Si­cher­heits­zie­le Ver­trau­lich­keit, Ver­füg­bar­keit und In­te­gri­tät wer­den hier be­wer­tet. Die "ba­se me­tric" wird für die je­wei­li­ge Schwach­stel­le ein­mal fest­ge­legt und än­dert sich nicht mehr.

Der ak­tu­el­le Be­wer­tungs­fak­tor (tem­po­ral me­trics) gibt die ak­tu­el­le Be­dro­hung an: Gibt es einen Ex­ploit, dann steigt der Wer­t, exis­tiert ein Patch des Her­stel­ler­s, so sinkt der Wer­t. Da­mit wird qua­si der „Vul­ne­ra­bi­li­ty Li­fe­cy­cle“ ab­ge­bil­det.

Der Fak­tor für das ei­ge­ne Un­ter­neh­men (en­vi­ron­men­tal me­tric) ver­sucht, die Um­ge­bung des Un­ter­neh­mens in der Be­wer­tung zu be­rück­sich­ti­gen: die An­for­de­run­gen an Ver­trau­lich­keit, Ver­füg­bar­keit, und In­te­gri­tät, die Ver­brei­tung von be­trof­fe­nen Sys­te­men und den „Kol­la­te­ral­scha­den“. Let­ze­res be­in­hal­tet Pro­duk­ti­vi­täts- oder Um­satz­ver­lust, die Ge­fahr für Leib und Le­ben oder an­de­rer ma­te­ri­el­ler Na­tur (z.B. Dieb­stahl)

Wie bewerte ich eine Schwachstelle mit CVSS?

Hier­zu gibt es meh­re­re Tools zum Be­rech­nen des CVS­-S­co­re. Aus­gangs­punkt ist im­mer der „Ba­se Sco­re“, den man in der Na­ti­o­nal Vul­ne­rat­bi­li­ty Da­ta­ba­se (NVD) des NIST nach­schla­gen kann. Falls der Ein­trag dort noch nicht exis­tier­t, lässt sich der Ba­se Sco­re mit et­was Er­fah­rung auch selbst be­stim­men. Vom NVD­-­Ein­trag kommt man di­rekt zu ei­nem CVSS­-­Rech­ner, in dem man die An­ga­ben für die „tem­po­ral me­tric“ und die „en­vi­ron­men­tal me­tric“ ein­ge­ben kann.

Tipps aus der Praxis:

  • Für die Pri­o­ri­­sie­rung wird der „Re­­me­­dia­ti­on Le­­vel“ auf „Not De­­fi­­ne­d“ ge­­stell­t. Er gibt an, wel­che Ge­­gen­­maß­­nah­­me exis­tier­t. Ein of­­fi­­zi­el­­ler Patch wür­­de den Wert sen­ken.

  • Für gro­­ße Un­­ter­­neh­­men bie­tet das NIST einen XM­L­­-­­­Fee­d. Da­­mit kann man die Ba­­se­­-­S­­co­res au­to­­ma­tisch mit der ITIL Con­­fig­­-DB ver­­knüp­­fen und den Ad­­mins die pri­o­ri­­sier­te Lis­te vor­­le­­gen.

  • Ar­­bei­ten Sie im­­mer mit dem Er­­ge­b­­nis des „tem­­po­ral sco­res“. Das ist die Stel­le die die Un­­ter­­schei­­dung zwi­­schen „un­­be­­stä­tig­te Schwach­s­tel­le“ und „Wurm nutzt Ex­ploit ak­tiv aus“ ge­trof­­fen wird.

Wer mehr dar­über wis­sen möch­te: Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de