Es ist gut möglich, dass Sie schon einmal den Begriff "CVE" gehört haben, der für Common Vulnerabilities and Exposures steht. CVEs werden in einer riesigen Datenbank aufgelistet, die bekannte Computer-Sicherheitsprobleme verfolgt. Dies ermöglicht einen einfachen Zugriff und Bezug. Wenn Sie also jemanden über ein CVE - oder einen CVE-Eintrag - sprechen hören, bedeutet das, dass die Sicherheitslücke bekannt ist und bereits katalogisiert wurde.
Der Sinn der Verfolgung von CVEs ist folgender: Durch die gemeinsame Nutzung und Katalogisierung bekannter Sicherheitslücken können Cybersicherheitsexperten Prioritäten setzen und Schwachstellen beseitigen, während sie die Sicherheit von Clouds, Codes und anderen IT-Systemen erhöhen.
Im Grunde bietet das CVE-System eine gemeinsame Sprache und einen gemeinsamen Bezugspunkt. Aber - und das ist das große "Aber" - bedenken Sie, dass mein Problem vielleicht nicht Ihr Problem ist!
Wer verwaltet die CVE-Datenbank?
Die MITRE Corporation beaufsichtigt das CVE-System, und alle CVE-Datensätze sind für die Öffentlichkeit kostenlos zu durchsuchen und zu nutzen. Die Cybersecurity and Infrastructure Security Agency (CISA) trägt zur Finanzierung bei. CVE-Einträge sind kurz und bündig - hier gibt es keine tiefgehenden technischen Daten. CVE-Einträge enthalten auch keine Kommentare zu Behebungen, Risiken und Auswirkungen. Die detaillierten Angaben werden in anderen Datenbanken erfasst. Einige Beispiele hierfür sind die U.S. National Vulnerability Database (NVD) und die CERT/CC Vulnerability Notes Database.
Wie sieht eine CVE-ID aus?
Eine CVE-ID ist wie eine Seriennummer. Wenn Sie sich einen CVE-Eintrag ansehen, sehen Sie die CVE-ID, die wie folgt aussieht: "CVE-YYYY-#####".
Was beinhaltet ein CVE-Datensatz?
Ein CVE-Datensatz enthält die folgenden Informationen:
- CVE-ID
- Beschreibung
- Referenzen
- CNA zuweisen
- Datum der Erstellung des Datensatzes
CVE-Datensätze enthalten auch einige Altlasten, die für neue Einträge nicht relevant sind: Phase, Abstimmungen, Kommentare, Vorschläge.
Wie finden sie Schwachstellen und Gefährdungen?
Jeder kann sie melden, vom Technikunternehmen bis zum neugierigen Nutzer. Einige bieten sogar Belohnungen für das Auffinden und Melden dieser Probleme an. Bei Open-Source-Software dreht sich alles um die Unterstützung der Gemeinschaft.
Sobald eine Schwachstelle gemeldet wird, gibt ein CNA ihr eine CVE-ID, schreibt eine kurze Beschreibung und fügt einige Referenzen hinzu. Dann wird sie auf der CVE-Website veröffentlicht. Manchmal erhalten sie sogar eine ID, bevor das Problem veröffentlicht wird. Das hält die Bösewichte in Schach.
Nun, nicht jede Ausgabe erhält einen CVE. Natürlich gibt es Regeln! Es gelten drei Hauptkriterien:
- Unabhängig behebbar. Dies bedeutet, dass der Fehler behebbar, unabhängig und irrelevant für andere Fehler ist.
- Bestätigt durch den Anbieter. Dies bedeutet, dass der Anbieter anerkennt, dass der Fehler existiert und die Sicherheit beeinträchtigen könnte. Eine andere Möglichkeit ist ein gemeinsamer Schwachstellenbericht, der eine Beschreibung der negativen Auswirkungen des Fehlers und der Verletzung der Sicherheitsrichtlinien des Systems enthält.
- Betrifft nur eine Codebasis. Wenn es mehr als ein Produkt betrifft, erhalten sie separate CVEs. Die Idee ist, CVE-Datensätze in größtmöglicher Isolation zu erstellen.
Wie kann ich CVE-Einträge finden?
Zunächst einmal sind die CVE-Informationen kostenlos und für die Öffentlichkeit zugänglich. Das ist also eine gute Nachricht.
Der einfachste Weg, die neuesten CVEs zu finden, ist, @CVEnew auf X zu folgen. Dieser Feed wird ständig mit Tweets über mehrere neue CVEs jeden Tag aktualisiert. Gerade gestern habe ich nachgesehen und es gab über 80 neue CVEs! Wenn Sie ihm folgen, wird Ihr Feed voll davon sein!
Wie wäre es mit einer gründlicheren Möglichkeit, frühere CVE-Einträge zu finden? Wenn Sie alle Datensätze seit 1999 oder ein bestimmtes Jahr oder sogar eine Suche nach Thema wünschen, gehen Sie einfach zu CVE.org/Downloads. Massendateien sind jetzt im JSON 5.0-Format und können über ein GitHub-Repository heruntergeladen werden. (Hinweis: Das vorherige Ablagesystem wird am 1. Januar 2024 nicht mehr verfügbar sein).
CVEdetails.com hat eine einfach zu bedienende Online-Version der Datenbank - mit täglichen Updates!
Wie können Sie Ihre Bibliotheken dem richtigen CVE zuordnen?
Wenn Sie eine Sicherheitslücke analysieren, möchten Sie die richtige CVE abrufen. Um sicherzugehen, dass Sie die richtige CVE haben, ist es am besten, nach der Versionsnummer und dem Paketnamen zu suchen. Es gibt viele Tools, wie z. B. Trivy, die dies automatisch für Sie tun. (Aikido nutzt Trivy für einige dieser Funktionen.)
Gemeinsames System zur Bewertung von Schwachstellen - CVSS
Die NVD und andere Organisationen verwenden das Common Vulnerability Scoring System (CVSS), mit dem der Schweregrad einer Schwachstelle oder einer Gefährdung bestimmt wird. Es ist eine Art Zeugnis für Sicherheitsprobleme und reicht von 0,0 (keine große Sache) bis 10,0 (großes Problem). Jeder CVE-Eintrag hat also einen CVSS-Score.
Wie wird ein CVSS-Score berechnet?
Der CVSS-Score wird mit einer Formel berechnet, die auf Schwachstellenmetriken basiert. Eine CVSS-Punktzahl setzt sich aus Werten aus diesen drei Bereichen zusammen: Base, Temporal und Environmental. Die Basisbewertung ist obligatorisch und bildet den Ausgangspunkt; sie enthält Unterbewertungen für Auswirkungen und Ausnutzbarkeit. Aus dem Basiswert kann dann der zeitliche Wert berechnet werden. Anschließend kann der Environmental Score aus dem Temporal Score berechnet werden. Diese Berechnungen führen zum CVSS-Gesamtwert.
Etwas für Formel-Freaks! Hier erfahren Sie, wie das Bewertungssystem und der CVSS-Rechner funktionieren. Finden Sie heraus, wie die Berechnungen aussehen und welche genauen Metriken die einzelnen Punkte ergeben. Angriffsvektor! Angriffskomplexität! Jede Menge Spaß!
Was ist die CVSS-Bewertungsskala?
Die aktuelle (v3.1) CVSS-Bewertungsskala umfasst fünf Kategorien:
- 9,0 - 10,0 = Kritisch
- 7,0 - 8,9 = Hoch
- 4,0 - 6,9 = Mittel
- 0,1 - 3,9 = niedrig
- 0.0 = Keine
Laden Sie eine Kopie des vollständigen Benutzerhandbuchs für das CVSS-Bewertungssystem herunter.
Wie finde ich einen CVSS-Score für einen CVE-Eintrag?
Das ist ganz einfach! Wenn Sie sich in der Online-Datenbank befinden, enthält jede CVE-Datenseite einen Link zum CVSS-Score der NVD. Einfach anklicken und los geht's! Wenn wir zum Beispiel CVE-2023-40033 von vorhin in diesem Beitrag verwenden und auf "CVSS scores" (oben rechts im Datensatz) klicken, erfahren wir, dass diese Schwachstelle eine Punktzahl von 7.1 (Hoch) hat.
Was ist ein CWE?
Die Common Weakness Enumeration (CWE) ist eine Liste allgemeiner Software- und Hardwareschwachstellen. Die CWE ist eine von der Gemeinschaft entwickelte Ressource und bietet eine Standardisierung für Art und Umfang der Schwachstellen.
Um MITRE zu zitieren: "Das Hauptziel von CWE ist es, Schwachstellen an der Quelle zu stoppen ... die häufigsten Fehler zu beseitigen, bevor Produkte ausgeliefert werden. CWE bietet Entwicklern auch einen Rahmen für Diskussionen und Maßnahmen gegen Sicherheitsbedrohungen, während es gleichzeitig Schwachstellendatenbanken (z. B. CVE) zuordnet.
Was ist der Unterschied zu CVE? CWE konzentriert sich auf die zugrundeliegende Schwäche, die zu einer Sicherheitslücke führen könnte. CVE hingegen beschreibt die tatsächlichen Schwachstellen. Wie CVE verfügt auch CWE über eine Schweregradeinstufung durch CWSS und CWRAF.
Werfen Sie einen Blick auf die Top 25 der gefährlichsten CWEs für 2023.
Was kann ich tun, um eine starke Sicherheitslage zu erhalten?
Orientieren Sie sich bei der Festlegung Ihrer Sicherheitsprioritäten nicht blindlings an den CVSS-Scores
Sind alle CVEs ein Problem für Sie? Nein. Es handelt sich um Informationen, aber wie bei vielen Informationen sind nicht alle CVEs für Ihren Kontext relevant. Und selbst bei denjenigen, die relevant zu sein scheinen, gibt es viele Situationen, in denen selbst CVEs mit hohen CVSS-Scores nicht relevant oder ein Risiko für Sie sind:
- Grad der geschäftlichen Auswirkung: Eine Schwachstelle stellt trotz eines hohen CVSS-Scores kein signifikantes Risiko für die spezifischen Geschäftsabläufe, Kundendaten oder kritischen Systeme des Unternehmens dar. Oder eine Risikobewertung oder ein anderes Tool stellt fest, dass andere Faktoren (z. B. eine Funktion ist nicht erreichbar) den CVSS-Score an Bedeutung überwiegen.
- Einzigartige Systeme: Bei der Verwendung benutzerdefinierter oder einzigartiger Software spiegeln die CVSS-Scores möglicherweise nicht genau das tatsächliche Risiko wider, das mit Schwachstellen in bestimmten Systemen verbunden ist.
- Begrenzte Ressourcen: Sie würden gerne jede hoch bewertete CVSS-Schwachstelle beheben, aber Sie müssen realistisch sein. Setzen Sie Prioritäten, bevor Sie tonnenweise Ressourcen in etwas stecken, das nicht kosteneffektiv ist.
- Bereits abgedeckt: Möglicherweise haben Sie bereits solide Schutzmaßnahmen getroffen. Selbst wenn eine Schwachstelle eine hohe Punktzahl erreicht, könnten Sie entscheiden, dass es die Aufregung nicht wert ist, wenn Sie bereits Sicherheitsvorkehrungen getroffen haben, um sie in Schach zu halten.
- CWE-Bewusstsein: Seien Sie sich der CWEs bewusst, die Ihre Arbeit beeinflussen könnten.
Besorgen Sie sich einen Schwachstellen-Scanner
Es gibt auch neue Plattformen, die Ihnen helfen, aufkommende Trends zu erkennen - sehen Sie sich Fletch an, das sich auf die Geschwindigkeit der Erkennung und Kontextualisierung von Bedrohungen spezialisiert hat. Nessus scannt nach über 59.000 CVEs. Nexpose verwendet ein eigenes Bewertungssystem, das das Alter der Schwachstellen und die Art der bereits vorhandenen Patches und Abhilfemaßnahmen berücksichtigt. Nmap und OpenVAS sind Open-Source-Scanner für Sicherheitslücken.
Testen Sie in der Zwischenzeit Aikido Security, um auch Ihre allgemeine Sicherheitslage zu überwachen und zu verbessern. Probieren Sie Aikido kostenlos aus!
Der CurVE voraus sein
Das Problem bei CVEs ist, dass sie sich auf die VERGANGENHEIT beziehen, d. h. auf Schwachstellen und Gefährdungen, die bereits eingetreten sind. Das bedeutet, dass die bösen Akteure manchmal Zeit haben, Schaden anzurichten, bevor Sie Zeit haben, zu reagieren. Neben der Verwendung eines Schwachstellen-Scanners sollten Sie auch Maßnahmen zur Risikoverwaltung ergreifen. Dazu gehört, dass Sie sicherstellen, dass die Patches auf dem neuesten Stand sind, und dass Sie Penetrationstests durchführen.
TL;DR sec bietet eine gute Aufschlüsselung der Software-Lieferkette und, was noch wichtiger ist, wie die einzelnen Phasen gesichert werden können.
Außerdem halten wir Aikido-Nutzer (kostenlos und zahlend) und unsere LinkedIn-Follower mit relevanten LI-Posts auf dem Laufenden. Hier ist zum Beispiel ein aktueller Beitrag über CVE-2023-4911 - den (nicht ganz so lustigen) Looney Tunables-Bug.
Überprüfen Sie Ihren Code auf die häufigsten Schwachstellen
Nutzen Sie die OWASP Top 10 und die CIS-Compliance Benchmarks, um Ihren Code zu überprüfen. Diese Standardtools helfen Ihnen, die häufigsten Schwachstellen (OWASP) und Basiskonfigurationen für Cybersicherheit (CIS) zu beseitigen.
Sehen Sie, wie Sie direkt in Aikido punkten: CIS Bericht / OWASP Top 10 Bericht
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)