Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS
Seite 3: Kritikpunkte an CVSS
Wie jedes System zur Schwachstellenbewertung hat auch CVSS seine Tücken. Eine der Hauptkritikpunkte ist die intransparente Herleitung der Formeln zur Berechnung der Scores. Beispielsweise legt die Spezifikation fest, dass eine Low Attack Complexity (AC:L) immer genau mit dem Faktor 0.77 gewichtet werden soll. Wie diese Faktoren im Detail zustande kamen, bleibt genauso unklar wie wissenschaftliche Belege dafür fehlen, dass die Formeln empirisch oder theoretisch fundiert sind.
Wie bereits erwähnt gibt es auch an den Temporal Metrics Kritik. So ist laut Spezifikation sinnvollerweise vorgesehen, dass eine Schwachstelle kritischer zu betrachten ist, sobald ein öffentlicher Exploit auftaucht. Über Temporal Metrics lässt sich der Base Score aber lediglich absenken und nicht erhöhen.
Genauso diskussionswürdig ist, ob beziehungsweise wie das Vorhandensein eines Hersteller-Updates (Remediation Level: Official Fix) den Schweregrad einer Schwachstelle absenkt. Denn nur durch das Vorhandensein eines Patches ist er auf den betroffenen Systemen noch lange nicht eingespielt. Und wenn man bedenkt, dass Angreifer häufig Patches analysieren, um so die Schwachstellen besser zu verstehen (Patch Diffing), könnte man auch argumentieren, der Schweregrad müsste durch das Vorhandensein eines Patches eher zunehmen.
Neben der Kritik an CVSS selbst gibt es auch Einwände zur Verwendung in der Praxis. Häufig wird der CVSS Score nämlich eins zu eins als Risiko interpretiert. Hier ist aber wichtig zu verstehen, dass der Base Score lediglich einen technischen Schweregrad abbildet und nicht etwa ein konkretes Risiko aufzeigen kann. Ein aus dem Kontext gegriffener technischer Schweregrad sagt nur wenig über das tatsächlich mit einer Schwachstelle einhergehende Risiko für das betroffene System, für die darauf abgebildeten Geschäftsprozesse und letztendlich für das Unternehmen aus. Auch bereits vorhandene Gegenmaßnahmen, die eine Ausnutzung möglicherweise erschweren oder verhindern, werden im Base Score nicht berücksichtigt.
Unterschiedliche Interessen – unterschiedliche Bewertung?
Zwar sollen Schwachstellen möglichst unvoreingenommen bewertet werden, dennoch dürften auch die Interessen der bewertenden Person eine große Rolle spielen: Ein Security Researcher verspricht sich im Zweifel mehr Hype um eine entdeckte Schwachstelle, wenn sie möglichst hoch bewertet wird. Hersteller hingegen argumentieren, über eine bessere Informationsgrundlage zu verfügen, um den tatsächlichen Schweregrad verlässlicher bewerten zu können.
Andererseits kann es durchaus vorkommen, dass Hersteller versuchen, Schwachstellen möglichst kleinzureden, um schlechte Presse zu vermeiden. Diskussionen innerhalb der Security Community und auch unabhängige Bewertungen des NIST sorgen hier in der Regel allerdings für eine selbstkorrigierende Wirkung und Hersteller haben daher – nicht zuletzt auch aus Haftungsgründen – ein Interesse an seriösen Bewertungen.
Inwieweit CVSS dahingehend verlässlich ist, dass unterschiedliche Personen zu einheitlichen Bewertungen kommen, untersucht derzeit eine Forschungsgruppe der Universität Erlangen-Nürnberg in einer Online-Umfrage. Die Umfrage richtet sich an Experten, die regelmäßig CVSS verwenden. In der Umfrage werden Hintergrundkenntnisse zu CVSS abgefragt, bevor dann vier vorgegebene Schwachstellen mittels CVSS bewertet werden sollen. Die Umfrage läuft noch bis Mitte Februar, das Ausfüllen dauert etwa 20 bis 30 Minuten. Über die Ergebnisse werden wir hier auf heise Security berichten.
Fazit und Ausblick
Trotz der genannten Kritikpunkte ist CVSS nach bald zwei Jahrzehnten aus der Welt des Schwachstellen-Managements – nicht nur mangels Alternativen – heute nicht mehr wegzudenken. Es ersetzt zwar keine individuelle Risikoanalyse, bei der in der Regel weit mehr Faktoren als nur der Schweregrad einer Schwachstelle betrachtet werden. Insbesondere erweitert um den Environmental Score kann der CVSS Base Score aber als wichtiges Merkmal mit in eine solche Analyse einfließen.
Wie ein Blick in die Liste der möglichen Verbesserungen für CVSS v4.0 zeigt, arbeiten die Autoren der CVSS SIG bereits mit Hochdruck an der nächsten Version. Darin sollen auch einige der genannten Kritikpunkte in Angriff genommen werden. Die Temporal Metrics sollen nachgebessert werden und es wird auch diskutiert, Nutzern ein Best-Practice-Dokument an die Hand zu geben, wie der CVSS-Score als Input in einer Gesamtrisikobewertung verwendet werden kann.
Wer tiefer in das Thema CVSS einsteigen möchte, dem sei die CVSS-v3-Spezifikation ans Herz gelegt. Hier werden sämtliche Metriken, die vordefinierten Wahlmöglichkeiten und die Berechnungsformeln detailliert erläutert. Ein User Guide gibt zusätzliche Hinweise zur Verwendung von CVSS. Ein erstes Gefühl für das Zustandekommen von CVSS-Werten bekommt man schon mit wenigen Klicks im CVSS Calculator.
Diskutieren Sie mit uns im Expertenforum von heise Security Pro, wie sich CVSS in Ihrer Praxis bewährt hat:
(ovw)