Die CVSS-Bewertungen reichen von 0 bis 10, wobei 10 die höchste Schwere darstellt. Diese Punktzahlen helfen Unternehmen, Schwachstellen zu vergleichen und zu priorisieren sowie den Fortschritt bei der Behebung von Schwachstellen im Laufe der Zeit zu verfolgen.
Wie wird CVSS verwendet?
CVSS wird von Unternehmen verwendet, um IT-Sicherheitsschwachstellen zu bewerten, um sie zu verfolgen, zu priorisieren und zu beseitigen. Beispielsweise kann ein Unternehmen CVSS verwenden, um das Risiko zu messen, das von einer neu entdeckten Sicherheitslücke in seiner E-Mail-Server-Software ausgeht. Anhand des CVSS-Scores können sie dann die Prioritäten für die Behebung der Schwachstelle auf der Grundlage ihres relativen Schweregrads festlegen.
Erläuterung der CVSS-Scores
Aus welchen einzelnen Elementen setzt sich ein CVSS-Score zusammen?
Es gibt drei Kategorien, die zu einem CVSS-Score beitragen: Base, Temporal und environmental. Jede Kategorie hat eine Reihe verschiedener Faktoren, die ihr je nach den Merkmalen der bewerteten Schwachstelle zugewiesen werden können.
Was misst der Basis-Score?
Der Basis-Score ist ein Maß für die eigentliche Schwere einer Schwachstelle, ohne Berücksichtigung von mildernden Faktoren. Er wird anhand von sechs primären Sub-Scores berechnet: Umfang, Auswirkung, erforderliche Berechtigungen, Benutzerinteraktion, Auswirkungen auf die Vertraulichkeit und Auswirkungen auf die Integrität.
Welche Auswirkungen hat der Temporal Score auf die Behebung von Sicherheitslücken?
Der Temporal Score spiegelt den aktuellen Stand der Ausnutzbarkeit einer bestimmten Sicherheitslücke wider. Dieser Wert berücksichtigt z.B., ob es für die Schwachstelle eine bekannte Sicherheitslücke gibt und wie schwierig es wäre, eine solche zu erstellen. Der Temporal Score ist wichtig, weil er Unternehmen dabei helfen kann, Schwachstellen zu priorisieren, die mit größerer Wahrscheinlichkeit in naher Zukunft ausgenutzt werden können.
Wie tragen Umweltfaktoren zur Bestimmung des Schweregrads einer Sicherheitslücke bei?
Der Base Score misst den Schweregrad einer Sicherheitslücke und der Temporal Score misst das aktuelle Ausnutzungspotenzial. Der Schweregrad hängt auch von kontextuellen Faktoren in den spezifischen Umgebungen ab, in denen die Systeme eingesetzt werden, so dass einige Sicherheitslücken viel schwerwiegender sein können als andere – selbst, wenn sie bei der alleinigen Verwendung von CVSS eine niedrigere Bewertung erhalten hätten.
Aus diesem Grund enthält CVSS auch eine Kategorie „Environmental Score“. Diese Kategorie ermöglicht es Analysten, bei der Berechnung des endgültigen Schweregrads organisationsspezifische Risikofaktoren zu berücksichtigen. Zu den Faktoren, die berücksichtigt werden können, gehört, ob fein abgestufte Zugriffskontrollmaßnahmen vorhanden sind (eScope), ob ein zusätzlicher Arbeitsaufwand erforderlich wäre, um die Zielobjekte vollständig zu kompromittieren (ePrivilegesRequired), ob die ausgenutzten Systeme während eines Angriffs andere Systeme in der Umgebung zusammen mit sich selbst zum Absturz bringen könnten (eIntegrity), und so weiter. Die Einbeziehung dieser Art von kontextbezogenen Details ermöglicht es Analysten, sehr viel maßgeschneiderter und genauere Prioritätenlisten für die Beseitigung zu erstellen.
Unsere IT-Sicherheits Experten beraten Sie gerne bei Etablierung und Verbesserung eines Schwachstellenmanagements und bei der Ergreifung von präventiven Maßnahmen zur Stärkung Ihrer Cyber-Resilienz.
Kontaktieren Sie uns jetzt unverbindlich “Kontakt”. Weiteres erfahren Sie auf unserer Lösungsseite “Beratung IT-Sicherheit”.
Beispiele für die Interpretation verschiedener CVE-Schweregrade anhand von CVSS-Screens
Auch wenn jedes Unternehmen die Schwachstellen anders einstuft, ist die CVSS-Schweregradeinstufung ein nützliches Instrument zum Vergleich des Risikos, das von verschiedenen Schwachstellen ausgeht. Eine Schwachstelle mit einem CVSS-Score von 9,0 oder höher wird im Allgemeinen als kritisch eingestuft, während ein Score von 7,0-8,9 als hoher Schweregrad gilt. Eine Sicherheitslücke mit mittlerem Schweregrad hat in der Regel einen CVSS-Score von 4,0-6,9, während eine Sicherheitslücke mit niedrigem Schweregrad einen Score von 0-3,9 aufweist. Natürlich können diese groben Kategorien noch weiter in spezifischere Risikostufen unterteilt werden. So wird beispielsweise eine Schwachstelle mit einem CVSS-Score von 9.0-10.0 häufig als kritisch eingestuft, während eine Schwachstelle mit einem Score von 8.0-8.9 im Allgemeinen als hoch+ gilt. Daher ist es wichtig, dass Sie ein klares Verständnis davon haben, wie die verschiedenen CVSS-Scores auf die Risikodefinition Ihres Unternehmens abgestimmt sind, bevor Sie CVSS als Entscheidungshilfe verwenden.
Welche Informationen sind für die Berechnung eines genauen CVRS-Screens erforderlich?
Für die genaue Berechnung eines CVRS-Bildschirms sind mehrere Informationen erforderlich. Die erste ist die Spannung auf dem Typenschild des Geräts, die Sie auf der Website des Herstellers oder im Benutzerhandbuch finden können. Die zweite Information ist die maximale Netzspannung, die das Gerät aushalten kann. Diese Information finden Sie in der Regel im technischen Datenblatt des Geräts. Schließlich müssen die Mindestabstände zwischen stromführenden und nicht stromführenden Teilen bekannt sein. Diese Werte finden Sie im National Electric Code (NEC). Mit diesen Informationen ist die Berechnung eines CVRS-Bildschirms eine einfache Angelegenheit, bei der Sie die Werte einfügen und den gewünschten Abstand berechnen müssen. Wenn Sie diese Schritte befolgen, können Ingenieure sicherstellen, dass ihre CVRS-Bildschirme genau und schützend sind.
Überblick über die Scoring-Elemente in den drei Kategorien (Base Temporal und Environmental)
Die Bewertungselemente in den drei Kategorien sind wie folgt: Basis-Temperatur: Diese Punktzahl wird für die Grundtemperatur des Wassers, das Vorhandensein von Salz und andere Umweltfaktoren vergeben. Die maximale Punktzahl beträgt 20 Punkte. Umwelt: Diese Punktzahl wird für das Vorhandensein von Wasserlebewesen, das Vorhandensein von Müll und Unrat und andere Umweltfaktoren vergeben. Die maximale Punktzahl beträgt 30 Punkte. Insgesamt: Diese Punktzahl ist eine Kombination aus der Punktzahl für den Basis-Temporal und der Punktzahl für die Umweltbedingungen. Die maximale Punktzahl beträgt 50 Punkte.
Fazit
CVSS (Common Vulnerability Scoring System) ist ein Industriestandard-Tool zur Messung des Schweregrads von Sicherheitslücken. Es verwendet ein numerisches Bewertungssystem, um jeder Schwachstelle auf der Grundlage ihrer potenziellen Auswirkungen und ihres Risikoniveaus eine Punktzahl zuzuweisen. Durch die Einbeziehung kontextbezogener Details wie benötigte Privilegien, Integrität, Verfügbarkeit und Umgebung in das Bewertungsmodell können Analysten das Risiko besser einschätzen und die Priorisierung von Abhilfemaßnahmen. Die CVSS-Bewertungselemente sind in drei Kategorien unterteilt: Base Temporal, Environmental und Total. Mit diesen Informationen können Unternehmen den CVSS-Score verwenden, um ihre Sicherheitsschwachstellen genau zu bewerten und einzustufen. Letztendlich trägt die Implementierung einer effektiven Strategie zur Verwaltung von Schwachstellen, die die Verwendung von CVSS einschließt, dazu bei, eine sicherere Umgebung für alle zu gewährleisten.