Das Gedächtnis für Schwachstellen
Auswirkungen von Sicherheitsbedrohungen sind in der Regel schwerwiegender, wenn sie unbekannt sind. Ist niemand da, der sie bekannt macht, bleiben Sicherheitslücken jedoch unsichtbar. Seit gut 20 Jahren existiert mit CVE deshalb ein System, das Cybersicherheitslücken listet und einordnet – ein verlässlicher Begleiter in unserer täglichen Arbeit.
Was ist ein CVE?
Mit dem Ziel, eindeutige Bezeichnungen für weltweit bekannte Schwachstellen und Sicherheitslücken in Computersystemen bereitzustellen, wurde 1999 der Industriestandard «Common Vulnerabilities and Exposures» (CVE) ins Leben gerufen. Die herstellerübergreifende Liste ermöglicht die gemeinsame Nutzung von Daten zu Schwachstellen und Gefährdungen der Informationssicherheit.
Für die Verwaltung des CVE-Katalogs ist die gemeinnützige MITRE Corporation verantwortlich. Gemeinsam mit der amerikanischen CISA und dem japanischen JPCERT/CC ist sie berechtigt, eindeutige Namen für Probleme zu vergeben: sogenannte CVE-Nummern. Forscher, Hersteller und Sicherheitsunternehmen können Schwachstellen bei verschiedenen Anlaufstellen melden. MITRE und Co., die so genannte CNAs (CVE Numbering Authorities), überprüfen diese Meldungen und nehmen sie, falls geeignet, in die Liste auf. Weitere Organisationen wie die National Vulnerability Database (NVD) reichern die Einträge aus der CVE-Liste mit wertvollen Zusatzinformationen an, beispielsweise mit einer Kategorisierung der Sicherheitsrisiken.
Jeder CVE-Datensatz besteht aus Folgendem:
- CVE-ID-Nummer, bestehend aus dem Prefix "CVE", dem Jahr der Entdeckung der Schwachstelle und einer fortlaufenden Nummer (z.B. CVE-2021-123456)
- Kurze Beschreibung der Schwachstelle
- Referenzen
Vervielfachung in den letzten Jahren
Mehr als ein Jahrzehnt lang blieb die Anzahl der in der NVD aufgeführten Schwachstellen relativ stabil. Von Jahr zu Jahr schwankte sie meist nur um 10 bis 20 Prozent. Das änderte sich 2017, als sich die Zahl der Meldungen gegenüber dem Vorjahr mehr als verdoppelte. In den Folgejahren stellte sich heraus, dass es sich dabei nicht um eine anomale Spitze handelte. Seither stieg die Zahl der Meldungen kontinuierlich. Die Gründe für den sprunghaften Anstieg im Jahr 2017 lassen sich nicht genau eruieren. Einige Quellen gehen davon aus, dass der Anstieg der Schwachstellen auf eine grössere Sammlung von Softwareprodukten zurückzuführen ist. Zudem könnte die Zunahme der Sicherheitsrisiken auf eine höhere Anzahl von Klassen von Programmierschwächen zurückgehen.
Quelle Daten: National Vulnerability Database, https://nvd.nist.gov, Zahlen gerundet
Präventiver Charakter
Neben der geordneten Erfassung in Form eine Kataloges und dem Schaffen einer gemeinsamen Sprache, dienen die CVE der präventiven Überwachung von Systemen und Anwendungen. So erscheinen sie in Release Notes und dienen als Quelle für Testscripts, beispielsweise zur Überprüfung einer bestimmten installierten Softwareversion auf einem System. Dabei sind sie teilweise systemübergreifend, etwa wenn eine Software sowohl auf Windows als auch auf Linux dasselbe Verhalten aufweist.
Vulnerability Scanning bei aspectra
Die CVE sind fester Bestandteil der täglichen Arbeit bei uns, denn wir prüfen alle gehosteten Systeme regelmässig auf drei Arten:
- Via Internet, inklusive aller vorgeschalteten Systemen wie DDoS-Protection, Firewall, WAF, Loadblancer
- In jeder Netzwerkzone, z.B. alle Anwendungen, die innerhalb einer DMZ eines Kunden sichtbar sind
- Alle Systeme mit lokalen Scripts, z.B. die installierten Softwarepakete mit einem Inventar verglichen
Alle Findings rapportieren wir intern wie extern. Das Patching nehmen wir gemäss entsprechender Vorgaben vor. Bei PCI/DSS-Systemen sind wir beispielsweise verpflichtet, kritische Patches innerhalb von 30 Tagen zu installieren.
Diesen Prüfungsdiest können alle bei uns als Vulnerability Scanning as a Service (VSaaS) beziehen – unabhängig davon, ob man bereits aspectra-Kunde ist und bereits andere Leistungen bei uns in Anspruch nimmt.
Interessiert an Vulnerability Scanning as-a-Service? Nehmen Sie Kontakt mit uns auf.