2009-05: Common Vulnerability Scoring System
Täglich steht jeder IT-Administator vor demselben, großen Problem: Eine Flut an Sicherheitslücken und dazugehöriger Patches wartet darauf, beurteilt zu werden. Der Admin steht jedesmal vor der schwierigen Frage: Welchem Patch soll ich mich als erstes zuwenden? Wie gefährlich ist eine Sicherheitslücke, wie dringend ist es also, den Patch, einzuspielen? Glücklicherweise gibt es Methoden wie etwa das „Common Vulnerability Scoring System“ (CVSS), das Admins dabei wirkungsvoll unterstützt, all diese Risiken schneller und besser einschätzen und damit Prioritäten setzen zu können. Es lohnt sich auf jeden Fall, sich damit etwas näher auseinanderzusetzen.
Eine CVSS-Bewertung besteht aus drei Teilen:
Die Basisbewertung (base metrics) beschreibt die Gefährlichkeit der Schwachstelle. Dazu gehören, ob die Schwachstelle über das Netzwerk ausgenutzt werden kann, der Angreifer die Hürde einer Authentifizierung nehmen muss und wie komplex der Angriff ist. Auch die Beeinträchtigung der drei klassischen Sicherheitsziele Vertraulichkeit, Verfügbarkeit und Integrität werden hier bewertet. Die "base metric" wird für die jeweilige Schwachstelle einmal festgelegt und ändert sich nicht mehr.
Der aktuelle Bewertungsfaktor (temporal metrics) gibt die aktuelle Bedrohung an: Gibt es einen Exploit, dann steigt der Wert, existiert ein Patch des Herstellers, so sinkt der Wert. Damit wird quasi der „Vulnerability Lifecycle“ abgebildet.
Der Faktor für das eigene Unternehmen (environmental metric) versucht, die Umgebung des Unternehmens in der Bewertung zu berücksichtigen: die Anforderungen an Vertraulichkeit, Verfügbarkeit, und Integrität, die Verbreitung von betroffenen Systemen und den „Kollateralschaden“. Letzeres beinhaltet Produktivitäts- oder Umsatzverlust, die Gefahr für Leib und Leben oder anderer materieller Natur (z.B. Diebstahl)
Wie bewerte ich eine Schwachstelle mit CVSS?
Hierzu gibt es mehrere Tools zum Berechnen des CVS-Score. Ausgangspunkt ist immer der „Base Score“, den man in der National Vulneratbility Database (NVD) des NIST nachschlagen kann. Falls der Eintrag dort noch nicht existiert, lässt sich der Base Score mit etwas Erfahrung auch selbst bestimmen. Vom NVD-Eintrag kommt man direkt zu einem CVSS-Rechner, in dem man die Angaben für die „temporal metric“ und die „environmental metric“ eingeben kann.
Tipps aus der Praxis:
Für die Priorisierung wird der „Remediation Level“ auf „Not Defined“ gestellt. Er gibt an, welche Gegenmaßnahme existiert. Ein offizieller Patch würde den Wert senken.
Für große Unternehmen bietet das NIST einen XML-Feed. Damit kann man die Base-Scores automatisch mit der ITIL Config-DB verknüpfen und den Admins die priorisierte Liste vorlegen.
Arbeiten Sie immer mit dem Ergebnis des „temporal scores“. Das ist die Stelle die die Unterscheidung zwischen „unbestätigte Schwachstelle“ und „Wurm nutzt Exploit aktiv aus“ getroffen wird.
Wer mehr darüber wissen möchte: Mailen Sie einfach an kolumne@goebel-consult.de.
Weitere Links
Beispiel einer Schwachstellenbeschreibung mit Bewertung: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0219
Nachtrag: Mein Artikel "Eins nach dem anderen - Sicherheitsaufgaben priorisieren mit CVSS", iX Magazin 5/2010. Reprint im iX Special 3/2010.