Priorisierung von Schwachstellen Sicherheitslücken nur mit CVSS bewerten reicht nicht!

Die Bewertung einer Sicherheitslücke mit dem CVSS ist nicht ausreichend. Diese Erkenntnis lieferte ein Forscher, der 28.000 CVEs untersuchte. Besser, als sich auf ein Scoring-System zu verlassen, ist Sophos zufolge die Kombination mehrerer.

Für die Einordnung einer Sicherheitslücke hinsichtlich ihres Schweregrades verwenden Hersteller, Patch-Anbieter, Bug-Bounty-Programme wie auch unabhängige Medien wie Security-Insider meist das Common Vulnerability Scoring System (CVSS). Doch es gibt noch weitere Methoden, um den Schweregrad einer Schwachstelle sowie die Wahrscheinlichkeit ihrer Ausnutzung einzustufen. Die Experten von Sophos X-Ops haben das Thema der Priorisierung von Schwachstellen beleuchtet und sind zu dem Schluss gekommen, dass eine Kombination mehrere Methoden fast immer die bestmögliche Lösung sei.

Sicherheit cyber-physischer Systeme

Resilienz durch risiko­basiertes Schwach­stellen­management

CVSS ist beliebteste Methode

Während im Jahr noch 25.277 Common Vulnerabilites and Exposures (CVEs) registriert waren, waren es laut Sophos 2023 bereits 29.065. Und es ist davon auszugehen, dass es 2024 noch mehr geworden sind. Für IT-Teams liegt die Schwierigkeit darin, die vielen Schwachstellen richtig zu priorisieren, um sie dann ihrer Dringlichkeit entsprechend zu patchen.

Altbewährte Methode dafür ist das CVSS, welches vom Forum of Incident Response and Security Teams (FIRST) eingeführt wurde. Dort gibt es die Möglichkeit, Sicherheitslücken zwischen 0,0 und 10,0 einzustufen, die aufsteigend den Schweregrad angeben.

• 0,1 bis 3,9: gering

• 4,0 bis 6,9: mittel

• 7,0 bis 8,9: hoch

• 9,0 bis 10,0: kritisch

Kritik am CVSS

Allerdings erfährt CVSS immer wieder Kritik. Denn zwar können laut Sophos so der Schweregrad der Schwachstelle gemessen werden, jedoch nicht, welche konkrete CVEs die Bedrohungsakteure ausnutzen werden oder wann, denn oftmals kommen mit einer Sicherheitslücke mehrere CVEs einher. Daher sei die Priorisierung der Patches nach CVSS allein nicht zwingend zielgerichtet.

Henry Howland untersuchte im März 2023 insgesamt 28.000 CVEs. Dabei zeigte sich, dass Schwachstellen mit einem CVSS Score von 7 am ehestens von Cyberkriminellen ausgenutzt wurden. Bei Sicherheitslücken mit einer Bewertung von 5 sei die Wahrscheinlichkeit, größer als bei Schwachstellen mit einer Bewertung von 6. Und bei Schwachstellen mit dem höchstmöglichen Score von 10 sei die Wahrscheinlichkeit, dass für sie ein Exploit entwickelt wird, geringer als bei Schwachstellen mit einer Bewertung von 9 oder 8. Sophos schließt daraus: Es scheint keine eindeutige Korrelation zwischen der CVSS-Bewertung und der Wahrscheinlichkeit einer Ausnutzung zu bestehen.

CVSS-Wert ist unzureichend

Unternehmen schließen nur selten Sicherheitslücken

EPSS als Alternative zu CVSS

Eine mögliche Alternative zum CVSS ist das Exploit Prediction Scoring System (EPSS). Und wieder der Name schon sagt, liefert dieses System im Gegensatz zum CVSS nicht den Schweregrad einer Schwachstelle, sondern einen Wahrscheinlichkeitswert für ihre Ausnutzung. Allerdings weisen die Experten von Sophos darauf hin, dass das EPSS weder die Wahrscheinlichkeit, dass ein Unternehmen explizit angegriffen wird, noch die Auswirkungen eines erfolgreichen Angriffs.

Kombination von Scoring-Systemen

Neben den genannten Systemen gibt es die Möglichkeit, Sicherheitslücken mithilfe der Stakeholder-Specific Vulnerability Categorization (SSVC) einzustufen. Dies ist ein Framework, welches Unternehmen bei der Priorisierung von Schwachstellen hilft, da es auf einer Baumstruktur von Entscheidungsfaktoren beruht. Auch der Known Exploited Vulnerabilities Catalog (KEVC), der von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht wird, ist eine gute Möglichkeit, an Informationen über aktiv ausgenutzte Schwachstellen zu gelangen.

Sophos zufolge ist es nicht überraschend, dass dass es keine en perfekte Lösung oder Kombination von Priorisierungssystemen gibt, die alle Schwachstellen beheben und alle Probleme lösen. Jedoch sei fast immer die Kombination von Priorisierungsmöglichkeiten besser als die Verwendung von nur einem System. Außerdem würde ein ideales Schwachstellenmanagement sowie die effizienteste Priorisierung auf einer Vielzahl von Quellen, darunter Bedrohungsdaten, Schwachstellen, Sicherheitslage, Kontrollen, Risikobewertungen, Ergebnisse von Pentests oder Sicherheitsaudits basieren.

Vom Security Assessment zum Penetrationstest

Wann ein Pentest sinnvoll ist

(ID:50296884)