08C01 Erkennen und Behandeln von Sicherheitslücken – CVE, CVSS, CAPEC, ATT&CK und CWE
|
Das Management der Informationssicherheit lässt sich in zwei Hauptabschnitte unterteilen: Risiken bestimmen und Risiken behandeln. Die zentralen Schritte in der Risikobestimmung sind Identifizierung, Analyse und Bewertung von Bedrohungen der Aktiva (Assets) eines Unternehmens.
Die Common Attack Pattern Enumeration and Classification (CAPEC) und die MITRE ATT&CK Informationssammlung helfen dabei, typische Angreiferperspektiven und Vorgehensweisen zu identifizieren und frühzeitig geeignete Gegenmaßnahmen zu planen. Die Common Vulnerability Enumeration listet bekannte Sicherheitslücken und unterstützt damit das gezielte Aufspüren von existierenden Einfallsmöglichkeiten in die IT-Systeme einer Organisation, die dann gepatcht werden können. Entwickelt ein Unternehmen eigene Software, so erlaubt die Common Weakness Enumeration (CWE), Schwachstellen in den eigenen Implementierungen zu vermeiden oder frühzeitig zu erkennen. Das Common Vulnerability Scoring System (CVSS) erlaubt eine systematische und nachvollziehbare Bewertung von Sicherheitslücken und unterstützt damit die Priorisierung der notwendigen Maßnahmen.
Die einzelnen Verfahren werden ausführlich anhand von Beispielen erläutert, und es wird gezeigt, wie sie im Kontext eines ISMS gezielt eingesetzt werden und sich gegenseitig unterstützen. von: |
1 Einleitung
Die zentrale Aufgabe der Informationssicherheit in Organisationen wie Unternehmen, Behörden und Einrichtungen ist es, die Aktivposten der jeweiligen Organisation zu schützen. Als Aktivposten, Aktiva oder Assets werden alle Objekte bezeichnet, die zum Erreichen der Geschäftsziele benötigt werden [1]. Dies können z. B. Kundendaten, von Organisationen entwickelte Software oder die IT-Infrastruktur der Organisation sein. Der Schutz dieser Assets muss aktiv gewährleistet werden. Das ist die Aufgabe des Informationssicherheitsmanagements (ISM). Zertifizierbare Anforderungen an Systeme zum Management der Informationssicherheit werden in der ISO 27001:2022 [2] formuliert. Diese Anforderungen sinnvoll im Organisationskontext umzusetzen ist Aufgabe der Organisation. Der vorliegende Beitrag soll den dafür bestellten Personenkreis bei dieser Aufgabe unterstützen.
Risikomanagement als Teil eines ISMS
Ein Kernprozess in jedem ISM ist das Risikomanagement, insbesondere in Bezug auf den operativen Betrieb, in dem die physische wie die Cybersicherheit betrachtet wird (vgl. [2], Normkapitel 6 und 8). Die Abbildung 1 gibt einen Überblick über die Einsatzmöglichkeiten der Verfahren in der Risikoermittlung und -behandlung eines Informationssicherheitsmanagements.
Ein Kernprozess in jedem ISM ist das Risikomanagement, insbesondere in Bezug auf den operativen Betrieb, in dem die physische wie die Cybersicherheit betrachtet wird (vgl. [2], Normkapitel 6 und 8). Die Abbildung 1 gibt einen Überblick über die Einsatzmöglichkeiten der Verfahren in der Risikoermittlung und -behandlung eines Informationssicherheitsmanagements.
Die in der ISO/IEC 27001 geforderten Aktivitäten lassen sich in fünf Hauptgruppen aufteilen:
| • | Die Festlegung von Kriterien für die Durchführung von Risiko-Assessments und von Kriterien, wann Risiken akzeptiert werden dürfen. | ||||||
| • | Die Durchführung konsistenter Maßnahmen, um
| ||||||
| • | Die Implementierung von geeigneten Maßnahmen zur Behandlung dieser Risiken. |
Sicherheitsdreieck (CIA)
Risiken werden nach den Attributen des Sicherheitsdreiecks Vertraulichkeit, Integrität und Verfügbarkeit – Confidentiality, Integrity and Availability (CIA) (vgl. [2] Normkapitel 6.1.2) klassifiziert. Die Anfangsbuchstaben der englischen Attributnamen ergeben das wohlbekannte Kürzel CIA. Welche Attribute bei einem gegebenen Risiko betroffen sind, wird bei der Identifizierung des Risikos festgehalten.
Risiken werden nach den Attributen des Sicherheitsdreiecks Vertraulichkeit, Integrität und Verfügbarkeit – Confidentiality, Integrity and Availability (CIA) (vgl. [2] Normkapitel 6.1.2) klassifiziert. Die Anfangsbuchstaben der englischen Attributnamen ergeben das wohlbekannte Kürzel CIA. Welche Attribute bei einem gegebenen Risiko betroffen sind, wird bei der Identifizierung des Risikos festgehalten.
CAPEC, ATT&CK, CVE, CVSS und CWE sind etablierte Ansätze, die eine wertvolle Unterstützung beim operativen Management von Risiken der Cybersicherheit in allen Phasen des Risikomanagements bieten (vgl. Abbildung 1). Dieser einleitende Abschnitt betrachtet die Verfahren und ihr Zusammenspiel mit dem Risikomanagement im Überblick. Er ist insbesondere für eilige Leser und Mitglieder einer Geschäftsleitung gedacht.
Common Vulnerability Enumeration (CVE)
Die Common Vulnerability Enumeration (CVE) [3] dient der „Identifizierung, Definition und Katalogisierung öffentlich bekannt gewordener Cybersicherheitslücken.” [4]. Unternehmen wie Microsoft und Stiftungen wie die Apache Foundation fungieren als Partner und veröffentlichen, bewerten und katalogisieren gemeldete Sicherheitslücken, die in ihren jeweiligen Wirkungsbereich fallen. Die Liste wird kontinuierlich aktualisiert und in maschinenlesbaren Formaten wie JSON, XML oder CSV zur Verfügung gestellt. Sie wird bereits standardmäßig in Intrusion-Detection-Werkzeugen, Vulnerability-Scannern oder Security-Information-and-Event-Management-Systemen (SIEM) eingesetzt. Letztere führen Informationen aus verschiedenen Werkzeugen und Aktivitäten zusammen und unterstützen u. a. das Patch- und Updatemanagement in Organisationen. Die CVE ist damit per se ein Werkzeug zur Risikobehandlung. Auswertungen von CVE-Statistiken erlauben darüber hinaus das Erkennen neuer Trends und unterstützen die Identifizierung und Analyse neuer oder geänderter Bedrohungslagen. Eine drastisch geänderte Bedrohungslage kann ein Kriterium für die Durchführung eines außerordentlichen Risikoassessment der IT-Sicherheit (vgl. Abbildung 1) sein.
Die Common Vulnerability Enumeration (CVE) [3] dient der „Identifizierung, Definition und Katalogisierung öffentlich bekannt gewordener Cybersicherheitslücken.” [4]. Unternehmen wie Microsoft und Stiftungen wie die Apache Foundation fungieren als Partner und veröffentlichen, bewerten und katalogisieren gemeldete Sicherheitslücken, die in ihren jeweiligen Wirkungsbereich fallen. Die Liste wird kontinuierlich aktualisiert und in maschinenlesbaren Formaten wie JSON, XML oder CSV zur Verfügung gestellt. Sie wird bereits standardmäßig in Intrusion-Detection-Werkzeugen, Vulnerability-Scannern oder Security-Information-and-Event-Management-Systemen (SIEM) eingesetzt. Letztere führen Informationen aus verschiedenen Werkzeugen und Aktivitäten zusammen und unterstützen u. a. das Patch- und Updatemanagement in Organisationen. Die CVE ist damit per se ein Werkzeug zur Risikobehandlung. Auswertungen von CVE-Statistiken erlauben darüber hinaus das Erkennen neuer Trends und unterstützen die Identifizierung und Analyse neuer oder geänderter Bedrohungslagen. Eine drastisch geänderte Bedrohungslage kann ein Kriterium für die Durchführung eines außerordentlichen Risikoassessment der IT-Sicherheit (vgl. Abbildung 1) sein.
Common Vulnerability Scoring System (CVSS)
Dass Common Vulnerability Scoring System (CVSS) [4] wird durch die FIRST-Organisation kontinuierlich fortentwickelt. FIRST bietet und entwickelt Austauschmöglichkeiten für Sicherheitsteams aus aller Welt. CVSS als einheitliches Schema zur Bewertung der Schwere von Sicherheitslücken unterstützt dieses Ziel. Jede Sicherheitslücke wird anhand vorgegebener, entscheidbarer Kriterien bewertet. Aus der Bewertung wird ein Score für die Sicherheitslücke ermittelt. Die Einstufung von Sicherheitslücken erfolgt durch zwei unterschiedliche Stakeholdergruppen: Anbieter/Hersteller (supplier) und Nutzer/Anwender (consumer) der IT-Produkte.
Dass Common Vulnerability Scoring System (CVSS) [4] wird durch die FIRST-Organisation kontinuierlich fortentwickelt. FIRST bietet und entwickelt Austauschmöglichkeiten für Sicherheitsteams aus aller Welt. CVSS als einheitliches Schema zur Bewertung der Schwere von Sicherheitslücken unterstützt dieses Ziel. Jede Sicherheitslücke wird anhand vorgegebener, entscheidbarer Kriterien bewertet. Aus der Bewertung wird ein Score für die Sicherheitslücke ermittelt. Die Einstufung von Sicherheitslücken erfolgt durch zwei unterschiedliche Stakeholdergruppen: Anbieter/Hersteller (supplier) und Nutzer/Anwender (consumer) der IT-Produkte.
Ab der Version 4.0 werden dazu fünf Bereiche betrachtet. Der erste Bereich, der Basis-Score bewertet den Schweregrad einer Sicherheitslücke über eine Einschätzung ihrer Ausnutzbarkeit und ihrer CIA-Auswirkungen auf das angegriffene und zusätzlich auf unmittelbar nachfolgende Systeme.
Die Gruppe der ergänzenden Metriken (Supplemental Metrics) liefert zusätzliche Einstufungen der Sicherheitslücke im Hinblick auf funktionale Sicherheit, Dringlichkeit, den zu leistenden Aufwand zur Schließung und weitere technische Aspekten. Diese sind rein informativ und beeinflussen den Score nicht. Basis-Score und ergänzende Metriken werden aus Anbieter/Herstellersicht bewertet.
In der dritten und vierten Metriken-Gruppe können nutzerspezifische Umgebungsfaktoren in die Bewertung einbezogen werden – z. B. eine Gewichtung der Wichtigkeit der CIA-Attribute oder der Anforderungen an diese für eine gegebene Sicherheitslücke aus Sicht der eigenen Organisation oder die Berücksichtigung zusätzlicher Schutzmaßnahmen wie Zugriffsbeschränkungen oder Systemhärtungen, die bereits dort implementiert sind. Zusätzlich kann die aktuelle Bedrohungslage durch die Threat Metrik „Exploit Maturity” mit in die Bewertung einbezogen werden. Daher eignet sich das Verfahren zur Festlegung von Akzeptanzkriterien und unterstützt die eigene, protokollierte Bewertung von akuten Risiken.
Common Attack Pattern Enumerations and Classifications (CAPEC)
Die Liste Common Attack Pattern Enumerations and Classifications (CAPEC) [5] listet und klassifiziert gängige Angriffsmuster. Ein Angriffsmuster beschreibt die gemeinsamen Merkmale von Vorgehensweisen, die spezifische Schwachstellen in Programmen und Systemen ausnutzen. Neben einer Beschreibung typischer Vorgehensweisen referenziert CAPEC auch die möglichen Schwachstellen aus der Common Weakness Enumeration (CWE), gegen die sich das Angriffsmuster richtet. Damit ist CAPEC ein wertvolles Hilfsmittel zur detaillierten Identifizierung und Analyse möglicher Bedrohungen für bestehende IT-Systeme. Zu den unterschiedlichen Angriffsmustern werden außerdem passende Mitigationen vorgeschlagen. Auf diese Weise unterstützt der Einsatz von CAPEC auch die Risikobehandlung. CAPEC, CWE und CVE werden von der MITRE [3] gepflegt und weiterentwickelt. Die MITRE ist eine US-amerikanische, gemeinnützige Organisation, die staatlich finanzierte Forschungs- und Entwicklungszentren betreibt und US-Behörden wie Unternehmen zu verschiedenen Technologien – u. a. Cybersecurity – unterstützt und berät.
Die Liste Common Attack Pattern Enumerations and Classifications (CAPEC) [5] listet und klassifiziert gängige Angriffsmuster. Ein Angriffsmuster beschreibt die gemeinsamen Merkmale von Vorgehensweisen, die spezifische Schwachstellen in Programmen und Systemen ausnutzen. Neben einer Beschreibung typischer Vorgehensweisen referenziert CAPEC auch die möglichen Schwachstellen aus der Common Weakness Enumeration (CWE), gegen die sich das Angriffsmuster richtet. Damit ist CAPEC ein wertvolles Hilfsmittel zur detaillierten Identifizierung und Analyse möglicher Bedrohungen für bestehende IT-Systeme. Zu den unterschiedlichen Angriffsmustern werden außerdem passende Mitigationen vorgeschlagen. Auf diese Weise unterstützt der Einsatz von CAPEC auch die Risikobehandlung. CAPEC, CWE und CVE werden von der MITRE [3] gepflegt und weiterentwickelt. Die MITRE ist eine US-amerikanische, gemeinnützige Organisation, die staatlich finanzierte Forschungs- und Entwicklungszentren betreibt und US-Behörden wie Unternehmen zu verschiedenen Technologien – u. a. Cybersecurity – unterstützt und berät.
Die ATT&CK-Matrix
Während CAPEC Angriffsmuster gegen spezifische Schwachstellen listet, klassifiziert ATT&CK [6] typische strategische und taktische Vorgehensweisen von Angreifern. ATT&CK kann dazu eingesetzt werden, die Wirksamkeit bestehender Schutzmechanismen und Richtlinien gegen typische Angriffstaktiken zu bewerten und systematisch Lücken in einem bestehenden operativen IT-Sicherheitsmanagement aufzudecken und zu schließen. Dazu listet ATT&CK typische Ziele von Angreifern und zugehörige taktische Vorgehensweisen in einer Matrix [7].
Während CAPEC Angriffsmuster gegen spezifische Schwachstellen listet, klassifiziert ATT&CK [6] typische strategische und taktische Vorgehensweisen von Angreifern. ATT&CK kann dazu eingesetzt werden, die Wirksamkeit bestehender Schutzmechanismen und Richtlinien gegen typische Angriffstaktiken zu bewerten und systematisch Lücken in einem bestehenden operativen IT-Sicherheitsmanagement aufzudecken und zu schließen. Dazu listet ATT&CK typische Ziele von Angreifern und zugehörige taktische Vorgehensweisen in einer Matrix [7].
Common Weakness Enumeration (CWE)
Die Common Weakness Enumeration (CWE) [8] beschreibt zum Zeitpunkt des Verfassens dieses Beitrags 933 verschiedene Schwachstellentypen für Soft- und Hardware. Der Begriff Schwachstelle bezeichnet in diesem Zusammenhang einen Fehler oder eine Designschwäche, die eine potenzielle Sicherheitslücke darstellt. CWE unterstützt die Bedrohungsanalyse beim Entwurf und der Implementierung von Hard- und Softwaresystemen. Sie dient zusammen mit CAPEC-Penetration-Testern als Checkliste und Planungshilfe beim Entwurf gezielter Testangriffe, wie in Engineering for Attacks [9] beschrieben.
Die Common Weakness Enumeration (CWE) [8] beschreibt zum Zeitpunkt des Verfassens dieses Beitrags 933 verschiedene Schwachstellentypen für Soft- und Hardware. Der Begriff Schwachstelle bezeichnet in diesem Zusammenhang einen Fehler oder eine Designschwäche, die eine potenzielle Sicherheitslücke darstellt. CWE unterstützt die Bedrohungsanalyse beim Entwurf und der Implementierung von Hard- und Softwaresystemen. Sie dient zusammen mit CAPEC-Penetration-Testern als Checkliste und Planungshilfe beim Entwurf gezielter Testangriffe, wie in Engineering for Attacks [9] beschrieben.
