Berechtigt, CVE-IDs zu vergeben Securepoint als CVE Numbering Authority akkreditiert

Anbieter zum Thema

Securepoint GmbH

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

SEPPmail - Deutschland GmbH

Der deutsche Security-Anbieter Securepoint wurde zur CVE Numbering Authority ernannt. Somit ist er eine Anlaufstelle für die Meldung von Sicherheitslücken und kann diesen IDs zuordnen. So werden Organisationen CNAs und das sind ihre Pflichten.

Mit der Ernennung zur CVE Numbering Authority (CNA) ist der deutsche Hersteller Securepoint autorisiert, Kennnummern für Sicherheitslücken (CVEs, Common Vulnerabilities and Exposures) zu vergeben. Das CNA-Programm wird von der MITRE Corporation verwaltet, einer gemeinnützigen Organisation, die das CVE-Programm im Auftrag der U.S. Cybersecurity and Infrastructure Security Agency (CISA) betreibt. Derzeit gibt es insgesamt 21 CVE Numbering Authorities in Deutschland, die berechtigt sind, Schwachstellen CVE-IDs zuzuweisen und CVE-Einträge innerhalb ihres eigenen spezifischen Abdeckungsbereichs zu veröffentlichen. Dazu gehören:

• eigene Produkte

• Produkte von Partnern, sowie deren verbundenen Unternehmen

• Industrie- und Infrastruktur-Produkte sowie deren Komponenten von EU-basierten Unternehmen, die nicht im Geltungsbereich anderer CNAs liegen

Das Ziel des Programms ist es, Sicherheitslücken schnell und effizient zu identifizieren und zu beheben.

Priorisierung von Schwachstellen

Sicherheitslücken nur mit CVSS bewerten reicht nicht!

Voraussetzungen für CVE Numbering Authorities

Nicht nur herstellende Unternehmen können CNAs werden. Auch Sicherheitsforscher, Open-Source-Projekte, Bug-Bounty-Anbieter, koordinierende Stellen wie CERTs (Computer Emergency Response Teams) oder ISACs (Information Sharing and Analysis Centers) sowie Sicherheitsbehörden wie die CISA und das BSI. Um von MITRE als CNA akkreditiert zu werden, müssen Anwärter klar festlegen, für welche Produkte und Lösungen, Hardware und Software oder Systeme sie CVE-IDs vergeben möchten. Dieser Bereich sollte nicht bereits von einer anderen CNA abgedeckt werden.

CNAs müssen aktiv Sicherheitslücken erfassen, analysieren und CVE-IDs vergeben. Dazu gehört auch die Veröffentlichung relevanter Informationen für die Sicherheits-Community. Dabei muss sich die Authority an die CNA-Richtlinien von MITRE halten. Dazu gehören unter anderem:

• Konsistente und transparente Vergabe von CVE-IDs

• Zusammenarbeit mit anderen CNAs und dem CVE-Programm

• Regelmäßige Kommunikation und Berichterstattung an MITRE

• Öffentlich anerkannte Sicherheitsarbeit

Das Unternehmen sollte eine gewisse Erfahrung in der Sicherheitsforschung oder im Schwachstellenmanagement haben. Typischerweise sind Bewerber Software- oder Hardwareanbieter, CERTs oder Sicherheitsteams großer Organisationen. Schließlich muss die Organisation über klare Prozesse und ausreichend Ressourcen verfügen, um CVE-IDs korrekt zu verwalten.

Aufgaben einer CVE Numbering Authority

CVE Numbering Autorities sind Anlaufstellen für die Meldung von Sicherheitslücken. Dafür müssen sie eine eigene E-Mail-Adresse und einen klar definierten Meldeprozess für Sicherheitslücken einrichten. Außerdem müssen die CNAs gemeldete Schwachstellen analysieren, CVE-Datensätze mit Informationen über die Sicherheitslücke erstellen und IDs vergeben. Sie sind in der Pflicht, die Sicherheitslücken im CVE-Verzeichnis eintragen und öffentlich zugänglich machen. Auch die Kommunikation mit den betroffenen Parteien gehört zur Aufgabe von CNAs:

der Hersteller des Produkts, in dem die Schwachstelle gefunden worden ist, muss unverzüglich informiert werden, damit möglichst schnell ein Patch oder ein Workaround veröffentlicht werden können. Auch Partner und Kunden, die von Gefahren durch die Sicherheitslücke betroffen sind, müssen informiert werden. Ist ein Open-Source-Produkt betroffen, muss dies auch in der Community geteilt werden. Falls nötig, sollte die CNA einen verantwortungsvollen Offenlegungsprozess (Responsible Disclosure) in die Wege leiten.

Bei all diesen Maßnahmen muss sich die Authority an die CVE-Richtlinien halten, um eine konsistente und korrekte Meldungen zu gewährleisten. Auch der Austausch mit MITRE und anderen CNAs ist gefordert. Zu guter Letzt müssen die eigentragenen CVE-Datensätze bei Bedarf aktualisiert und korrigert werden.

Responsible Disclosure

Ethical Hacking und seine Grenzen

Vorteile für CNAs

Organisationen, die als CVE Numbering Authority autorisiert sind, profitieren von einigen Vorteilen.

• CNAs können Schwachstellen in ihren eigenen Produkten oder in ihrer Branche selbst verwalten und koordinieren. Dadurch verhindern sie, dass Dritte unkoordinierte oder fehlerhafte Meldungen veröffentlichen.

• CNAs können Schwachstellen direkt mit Kunden, Partnern und der Sicherheits-Community teilen. Das verbessert das Sicherheitsmanagement und das Vertrauen in ihre Produkte.

• CNA-Status zeigt, dass ein Unternehmen oder eine Organisation proaktiv in der Sicherheitsforschung tätig ist. Das stärkt die Glaubwürdigkeit und das Vertrauen bei Kunden und Partnern.

• CNAs sind Teil eines großen Netzwerkes und arbeiten mit anderen Sicherheitsorganisationen zusammen, was den Informationsaustausch sowie die eigenen Fähigkeiten verbessert.

• Außerdem haben sie Zugang zu MITREs Expertise und den neuesten Sicherheitsstandards.

• CNAs können selbstständig CVE-IDs vergeben und Sicherheitslücken schnell bekannt machen, was die eigene Reaktionszeit und den Schutz vor Angriffen verbessern kann.

(ID:50326106)