Common Vulnerability Scoring Systemm, Version 4.0
Das Common Vulnerability Scoring System (CVSS v4) erfasst die Haupttechnischen Merkmale von Schwachstellen in Software, Hardware und Firmware.
Inhaltsverzeichnis
Intro
Das CVSS (Common Vulnerability Scoring System) ist ein Tool, das den Schweregrad von Software-, Hardware- und Firmware-Schwachstellen anhand von Zahlenwerten bewertet. Das System besteht aus vier metrischen Gruppen: Basis, Bedrohung, Umgebungsbedingungen und Ergänzungen. Der Basiswert spiegelt die konstanten Merkmale der Schwachstelle wider, während die Bedrohungsmetrik den Schweregrad anhand von Faktoren wie Proof-of-Concept-Code oder aktiver Ausnutzung anpasst. Die Environmental Metrics verfeinern den Score weiter auf eine spezifische Computerumgebung, wobei das Vorhandensein von Abhilfemaßnahmen und die Kritikalitätsattribute des anfälligen Systems berücksichtigt werden. Schließlich liefern die ergänzenden Metriken zusätzlichen Kontext über die Schwachstelle. Das CVSS v4 Framework ist eine Erneuerung der alten Version 3.1.
Metriken
Die Gruppe der Basismetriken bezeichnet die inhärenten Eigenschaften einer Schwachstelle, die sich im Laufe der Zeit und über verschiedene Benutzerkontexte hinweg nicht ändern. Diese Gruppe besteht aus zwei Gruppen von Metriken: Metriken zur Ausnutzbarkeit und Metriken zu den Auswirkungen. Die Ausnutzbarkeitsmetriken geben an, wie leicht und mit welchen technischen Methoden die Schwachstelle ausgenutzt werden kann. Diese Metriken konzentrieren sich speziell auf die Eigenschaften des "verwundbaren Systems". Die Auswirkungsmetriken hingegen bezeichnen die direkten Auswirkungen eines erfolgreichen Angriffs, der sich auf das verwundbare System und/oder alle nachfolgenden Systeme, die so genannten "Downstream Systems", auswirken kann.
Mit CVSS v3.0 wurde das Konzept des "Umfangs" eingeführt, um die Auswirkungen einer Schwachstelle auf nachgelagerte Systeme zusätzlich zu dem verwundbaren System zu messen. Dies trägt dazu bei, die tatsächliche Auswirkung der Schwachstelle zu erfassen, und ermöglicht es Unternehmen, das von einer bestimmten Schwachstelle ausgehende Risiko besser einzuschätzen. Die Metrikgruppe Scope trennt die Auswirkungen auf das verwundbare System von den Auswirkungen auf nachgelagerte Systeme. Diese Funktion ermöglicht es Unternehmen, das von einer Schwachstelle ausgehende Risiko sowie die Auswirkungen potenzieller Abhilfemaßnahmen genauer zu bewerten.
Die Gruppen Environment und Supplemental Metrics des Common Vulnerability Scoring System (CVSS) liefern wichtige Merkmale einer Schwachstelle, die für die Umgebung des Benutzers relevant und einzigartig sind. Diese Metriken berücksichtigen bestehende Sicherheitskontrollen, die die Folgen eines erfolgreichen Angriffs abschwächen können, die relative Bedeutung eines anfälligen Systems innerhalb einer technologischen Infrastruktur sowie zusätzliche äußere Merkmale der Schwachstelle. Die Reaktion auf jede Kennzahl innerhalb der Gruppe der zusätzlichen Kennzahlen liegt im Ermessen des Anwenders, so dass er die Kennzahlen und Werte als lokal bedeutsam einschätzen kann. Benutzerorganisationen können dann die Bedeutung und/oder die tatsächliche Auswirkung jeder Metrik oder Kombination von Metriken definieren, um die Kategorisierung, Priorisierung und Bewertung der Schwachstelle zu bestimmen.
Fazit
Wir sind gespannt, wie die neue Bewertungsmethode in CVSS V4.0 die Schwachstellenanalyse verbessern wird. Sie hat das Potenzial, den Schwachstellenanalysten eine effektivere Bewertung zu ermöglichen und die bisherigen Unzulänglichkeiten von CVSS zu beheben. Dies könnte zu einer besseren Bewertung der Auswirkungen von Sicherheitslücken führen. Wir sollten jedoch vorsichtig optimistisch bleiben, bis die Bewertung selbst deutliche Verbesserungen zeigt.
Quelle
Neugierig? Überzeugt? Interessiert?
Vereinbaren Sie noch heute ein unverbindliches Gespräch mit einem unserer Produktexperten.