In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit ist die genaue Bewertung und Priorisierung von Schwachstellen eine wichtige Aufgabe für Unternehmen weltweit. Das Common Vulnerability Scoring System (CVSS) ist seit langem der Industriestandard für die Quantifizierung des Schweregrads von Sicherheitsschwachstellen. Jüngste Analysen deuten jedoch darauf hin, dass CVSS-Scores nicht immer ein realistisches Bild der tatsächlichen Risiken vermitteln, die von Sicherheitslücken in realen Szenarien ausgehen. Dieser Blog-Beitrag befasst sich mit den Grenzen von CVSS-Scores und zeigt die Ergebnisse der umfassenden Analyse von JFrog zu Schwachstellen in Open-Source-Software auf. Wir gehen der Frage nach, warum diese Scores komplexe Sicherheitsprobleme zu stark vereinfachen und diskutieren mögliche Verbesserungen, um die Bewertung von Schwachstellen besser mit den realen Risiken in Einklang zu bringen.
CVSS und seine Rolle bei der Bewertung von Schwachstellen verstehen
Das Common Vulnerability Scoring System (CVSS) ist ein offener Industriestandard, mit dem der Schweregrad von Sicherheitslücken bewertet werden kann. CVSS wird vom gemeinnützigen Forum of Incident Response and Security Teams (FIRST) verwaltet und liefert eine numerische Punktzahl, die die potenziellen Auswirkungen einer Schwachstelle widerspiegelt und Unternehmen bei der Festlegung von Prioritäten für ihre Abhilfemaßnahmen hilft.
Die National Vulnerability Database (NVD), die vom National Institute of Standards and Technology (NIST) verwaltet wird, weist bestätigten Sicherheitslücken CVSS-Scores zu und macht diese Informationen öffentlich zugänglich. Diese Werte werden von Sicherheitsteams häufig verwendet, um die Dringlichkeit der Behebung bestimmter Schwachstellen zu beurteilen.
JFrog’s Analyse: Diskrepanzen zwischen CVSS-Scores und Auswirkungen in der realen Welt
Im Jahr 2022 führte der Anbieter von Sicherheitstools JFrog eine Analyse der 50 häufigsten Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs ) durch, um die realen Auswirkungen von Sicherheitslücken in Open-Source-Software zu bewerten. Die Ergebnisse zeigten erhebliche Diskrepanzen zwischen den öffentlichen CVSS-Scores des NVD und JFrogs eigenen Schweregradbewertungen.
- Überschätzung des Schweregrads: In 64% der Fälle stufte JFrog den Schweregrad niedriger ein als der NVD. Dies deutet darauf hin, dass viele Schwachstellen möglicherweise überbewertet werden, was dazu führen kann, dass Unternehmen ihre Ressourcen ineffizient einsetzen.
- Fallstudie – CVE-2022-3602: Ein Pufferüberlauf bei der Überprüfung von X.509-Zertifikaten wurde zunächst als erhebliche Bedrohung eingestuft. Die tiefer gehende Analyse von JFrog ergab jedoch, dass die realen Auswirkungen aufgrund der Komplexität, die zum Ausnutzen der Schwachstelle erforderlich ist, marginal waren.
- Unterpriorisierte Schwachstellen mit niedrigem Schweregrad: JFrog fand auch heraus, dass 10 der häufigsten Schwachstellen, die Unternehmen betreffen, einen niedrigen CVSS-Schweregrad haben. Diesen Schwachstellen wird oft weniger Aufmerksamkeit geschenkt, was die Behebung verzögert und das Risiko einer Ausnutzung mit der Zeit erhöht.
Faktoren, die zu den CVSS-Einschränkungen beitragen
Mehrere Schlüsselfaktoren tragen zu der Diskrepanz zwischen CVSS-Scores und dem tatsächlichen Risiko bei, das von Schwachstellen ausgeht:
1. Mangelnde Berücksichtigung des Kontextes
CVSS-Scores werden auf der Grundlage einer Reihe von vordefinierten Metriken berechnet, aber oft fehlt der Kontext, wie Software in verschiedenen Umgebungen eingesetzt und verwendet wird. Zum Beispiel:
- Umgebungskonfigurationen: Einige Schwachstellen erfordern bestimmte Systemkonfigurationen oder Bedingungen, um ausgenutzt werden zu können, die in der CVSS-Basisbewertung nicht berücksichtigt werden.
- Einsatzszenarien: Das mit einer Sicherheitslücke verbundene Risiko kann sehr unterschiedlich sein, je nachdem, ob die Software in einer isolierten Umgebung verwendet wird oder externen Netzwerken ausgesetzt ist.
2. Übermäßige Vereinfachung der Komplexität von Angriffen
Das CVSS-Rahmenwerk enthält eine Metrik für die Angriffskomplexität, die jedoch die Feinheiten des Ausnutzens einer Schwachstelle möglicherweise nicht vollständig erfasst:
- Spezialisierte Kenntnisse und Fähigkeiten: Einige Schwachstellen erfordern fortgeschrittene technische Kenntnisse, um sie auszunutzen, was die Wahrscheinlichkeit von weit verbreiteten Angriffen verringert.
- Verkettete Exploits: Schwachstellen, die nur in Kombination mit anderen Schwachstellen ausgenutzt werden können, können hohe CVSS-Werte erhalten, obwohl sie für sich allein genommen nur geringe Auswirkungen haben.
3. Statisches Scoring-Modell
CVSS-Scores sind statisch und entwickeln sich im Laufe der Zeit nicht weiter, um neue Informationen oder Entwicklungen bei Sicherheitslücken zu berücksichtigen:
- Aufkommende Bedrohungen: Eine Schwachstelle kann gefährlicher werden, wenn neue Ausnutzungstechniken entdeckt werden, aber der CVSS-Score bleibt unverändert, sofern er nicht manuell aktualisiert wird.
- Abhilfemaßnahmen und Patches: Die Verfügbarkeit von Patches oder abschwächenden Kontrollen kann das reale Risiko verringern, wird aber nicht im ursprünglichen CVSS-Score berücksichtigt.
Auswirkungen auf Organisationen und Entwickler
Die Diskrepanzen bei den CVSS-Scores haben sowohl für die IT-Teams von Unternehmen als auch für die Betreuer von Open-Source-Projekten spürbare Auswirkungen:
- Zuteilung von Ressourcen: Überschätzte CVSS-Scores können Unternehmen dazu verleiten, weniger kritischen Schwachstellen Priorität einzuräumen und damit die Aufmerksamkeit von Problemen abzulenken, die ein größeres Risiko darstellen.
- Verzögerte Abhilfemaßnahmen: Schwachstellen mit geringem Schweregrad werden möglicherweise nicht als vorrangig eingestuft oder ignoriert, so dass potenzielle Angriffsvektoren im Laufe der Zeit im System verbleiben.
- Patch-Entwicklung: Es kann sein, dass Entwickler der Erstellung von Patches für als unbedeutend erachtete Schwachstellen keine Priorität einräumen, wodurch die Zahl der betroffenen Systeme steigt.
Auf dem Weg zu einer verbesserten Bewertung von Schwachstellen
Angesichts dieser Einschränkungen wächst der Konsens über die Notwendigkeit, das CVSS-Framework zu verbessern, um genauere und kontextbezogene Bewertungen zu ermöglichen.
CVSS v4.0: Ein Schritt nach vorn
Die kommende CVSS-Version 4.0, die derzeit von FIRST entwickelt wird, soll einige dieser Bedenken ausräumen:
- Ergänzende Dringlichkeitsbewertungen: Ermöglicht es den Produktentwicklern, zusätzliche Informationen über die Dringlichkeit einer Sicherheitslücke in ihrer spezifischen Implementierung zu liefern.
- Verbesserte Metriken: Einbeziehung von Faktoren wie Umgebungsbedingungen und Reife des Exploit-Codes, um den Bewertungsprozess zu verfeinern.
Chris Gibson, Executive Director von FIRST, betonte, dass CVSS zwar wertvoll ist, aber keine Komplettlösung darstellt. Er wies darauf hin, dass CVSS kontextbezogene Faktoren wie die spezifische Umgebung oder die betrieblichen Auswirkungen nicht berücksichtigt und dass Unternehmen es zusammen mit anderen Tools zur Risikobewertung verwenden sollten.
Empfehlungen für Organisationen
- Kontextbezogene Risikobewertung: Unternehmen sollten bei der Bewertung von Schwachstellen Umweltfaktoren und Einsatzszenarien berücksichtigen.
- Dynamische Prioritätensetzung: Aktualisieren Sie die Schwachstellenbewertungen kontinuierlich, sobald neue Informationen verfügbar sind, einschließlich der Entwicklung von Exploits und Patches.
- Umfassende Sicherheitsstrategie: Verwenden Sie CVSS-Scores als eines von mehreren Instrumenten in einem umfassenderen Risikomanagement-Rahmenwerk, das Bedrohungsdaten und die Kritikalität von Assets einschließt.
Schlussfolgerung
Die CVSS-Scores bieten zwar eine standardisierte Methode zur Bewertung von Schwachstellen, aber sie spiegeln die realen Risiken oft nur unzureichend wider, da es ihnen an Kontextbewusstsein fehlt und sie zu stark vereinfacht sind. Die Analyse von JFrog unterstreicht, wie wichtig es ist, bei der Bewertung von Schwachstellen einen differenzierteren Ansatz zu wählen.
Da die Cybersicherheitslandschaft immer komplexer wird, müssen sich Unternehmen nicht mehr nur auf numerische Werte verlassen. Durch die Integration kontextbezogener Informationen und die Einführung dynamischer Risikobewertungsmethoden können Sicherheitsteams fundiertere Entscheidungen treffen, Ressourcen besser zuweisen und ihre allgemeine Sicherheitslage verbessern.