Common Vulnerabilities and Exposures (CVE) ist eine zentrale Liste von Sicherheitslücken und Schwachstellen in Software und Systemen. Sie ermöglicht der gesamten Cybersecurity Gemeinschaft eine einheitliche Sicht auf alle Sicherheitsschwachstellen zu haben. (einheitliche Nomenklatur, keine Duplikate, hoher Grad an Dokumentationsqualität)
Eines der bekanntesten CVEs ist das CVE-2014-0160, besser bekannt als „the Heartbleed bug“.
Ein wichtiger Begriff in m Zusammenhang mit CVEs ist der des „Exploit“.
Ein Exploit nutzt eine Sicherheitslücke, die unter einem CVE identifiziert wurde, aus, um unautorisierten Zugriff oder Kontrolle über betroffene Systeme zu erlangen. Durch Ausführen von Code oder Manipulieren von Softwareverhalten ermöglicht ein Exploit Angreifern, Schwachstellen zu ihrem Vorteil zu verwenden.
Die Bedeutung für dein Unternehmen
CVE im Betrieb
Für mittelständische Unternehmen ist das Verständnis und die Überwachung von CVEs entscheidend, um präventive Maßnahmen gegen potenzielle Angriffe zu ergreifen. Es hilft, die IT-Infrastruktur vor bekannten Bedrohungen zu schützen.
CVE beim Cybervorfall
Bei einem Cybervorfall spielen CVEs eine entscheidende Rolle, um schnell und effizient auf Sicherheitslücken zu reagieren. Sie ermöglichen es, die genaue Schwachstelle, die ausgenutzt wurde, zu identifizieren und bieten oft bereits Informationen zu möglichen Lösungen oder Workarounds. Dieses Wissen ist essentiell, um die richtigen Schritte zur Eindämmung des Vorfalls einzuleiten und zukünftige Angriffe, die dieselbe Schwachstelle nutzen könnten, zu verhindern.
Wer verwaltet die CVEs
Die CVEs (Common Vulnerabilities and Exposures) werden vom MITRE Corporation verwaltet, einer gemeinnützigen Organisation, die Forschung und Entwicklung für verschiedene Bundesbehörden der Vereinigten Staaten durchführt. MITRE betreibt das CVE-Programm im Auftrag der US-amerikanischen National Cybersecurity FFRDC (Federally Funded Research and Development Center), das unter anderem vom National Institute of Standards and Technology (NIST) unterstützt wird. Die MITRE Corporation ist auch verantwortlich für die Entwicklung und Pflege des MITRE ATT&CK Frameworks.
Wie gefährlich ist ein CVE? Wie wird das bewertet?
Um zu bewerten wie gefährliche ein CVE ist, gibt es mehrere wichtige Systeme und Frameworks, die Entscheidungsträgern helfen, die Schwere und Dringlichkeit von Sicherheitslücken zu verstehen. Diese Systeme bieten standardisierte Methoden zur Einschätzung von Schwachstellen, was eine effektive Priorisierung von Reaktionen und Abhilfemaßnahmen ermöglicht.
Common Vulnerability Scoring System (CVSS)
Das Common Vulnerability Scoring System (CVSS) ist eines der am weitesten verbreiteten und anerkannten Systeme zur Bewertung der Schwere von Sicherheitslücken.
Scoring: Zahl zwischen 0 und 10
Diese Punktzahl basiert auf verschiedenen Metriken, die Faktoren wie die Komplexität des Angriffs, die notwendigen Voraussetzungen für einen erfolgreichen Angriff, die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Systemressourcen und weitere Aspekte berücksichtigen.
Exploit Prediction Scoring System (EPSS)
Das EPSS ist ebenfalls ein wichtiges System zur Bewertung von CVEs. Es darauf ab, die Wahrscheinlichkeit vorherzusagen, dass eine bekannte Schwachstelle in der nahen Zukunft ausgenutzt wird.
Scoring: Wahrscheinlichkeit zwischen 0 und 1 (bzw. 0% und 100%)
Diese Vorhersage wird anhand einer Vielzahl von Datenpunkten und statistischen Modellen errechnet und bietet eine prozentuale Wahrscheinlichkeit dafür, dass eine bestimmte CVE innerhalb der nächsten 12 Monate nach ihrer Veröffentlichung ausgenutzt wird.
National Vulnerability Database (NVD)
Die NVD ist eine US-amerikanische Datenbank, die CVE-Beschreibungen ergänzt mit zusätzlichen Analysen, Metadaten und Bewertungen nach dem CVSS. Die NVD bietet eine umfangreiche und leicht zugängliche Ressource für Informationen über Sicherheitslücken und deren Bewertungen. Durch die Nutzung der NVD können Entscheidungsträger tiefergehende Einblicke in die Schwere und mögliche Auswirkungen von CVEs erhalten.
Weitere wesentliche Informationen
CWE (Common Weakness Enumeration)
Obwohl CWE (Common Weakness Enumeration) nicht direkt zur Bewertung von CVEs verwendet wird, bietet es einen umfassenden Katalog von bekannten Software- und Hardware-Schwachstellenarten. Dieses Wissen kann genutzt werden, um die Hintergründe und Arten von Schwachstellen, die zu CVEs führen, besser zu verstehen. CWE hilft bei der Klassifizierung und Identifizierung von Mustern in Sicherheitslücken, was für die Entwicklung von Präventionsstrategien und Sicherheitsmaßnahmen nützlich ist.
Bei MITRE, werden auch regelmäßig die Top 25 Schwachstellen gerankt.
Exploit Database
Die Exploit Database ist eine umfangreiche Sammlung von Exploits (Ausnutzungsmöglichkeiten von Schwachstellen) und dazugehörigen Informationen über CVEs.
Obwohl sie primär eine Ressource für Sicherheitsforschende und Penetrationstester ist, kann die Verfügbarkeit von Exploits für eine bestimmte CVE auch Entscheidungsträgern Aufschluss über die Dringlichkeit der Behebung geben. Eine CVE mit verfügbarem und öffentlichem Exploit stellt ein höheres Risiko dar, da sie leichter von Angreifern ausgenutzt werden kann.
Sicherheitsberatungen von Herstellern und CERTs
Sicherheitsberatungen von Software- und Hardwareherstellern sowie von Computer Emergency Response Teams (CERTs) bieten spezifische Informationen und Bewertungen zu Sicherheitslücken in Produkten und Systemen. Diese Beratungen enthalten oft eigene Einschätzungen der Schwere und Empfehlungen zur Behebung von CVEs, die für die betroffenen Produkte relevant sind.
Relevante Glossareinträge
Weiterführende Links
CVE (Common Vulnerabilities and Exposures) bei MITRE
Finde CVEs zu Herstellern oder Produkten bei CVEdetails.com
CWE (Common Weakness Enumeration) bie MITRE
CVSS (Common Vulnerability Scoring System) bei First
EPSS (Exploit Prediction Scoring System) bei First