Verwundbarkeitsanalyse anhand von CPE-Dictionary und CVE-Feeds
Sicherheitslücken können Cyberangriffe ermöglichen. Deswegen müssen Sicherheitsverantwortliche ständig nach Verwundbarkeiten bei der installierten Software suchen. Was sind die Herausforderungen einer solchen Verwundbarkeitsanalyse?
- Luis Alberto Benthin Sanguino
- Martin März
Cyberkriminelle nutzen Schwachstellen in Software aus, um Rechner mit Malware wie Ransomware zu infizieren. Um das zu verhindern, wird eine entdeckte Verwundbarkeit schnell bekanntgegeben und das entsprechende Sicherheitsupdate veröffentlicht. Auf Grundlage dieser Information müssen die Benutzer das Update zeitnah installieren, um die Sicherheitslücke zu beheben.
In Unternehmen, in denen mehrere Softwareprodukte auf Hunderten von Rechnern installiert sind, ist der Einsatz eines Verwundbarkeitsmanagementsystems (VMS) erforderlich, um die installierten Softwareprodukte regelmäßig zu überwachen. Solche Systeme prüfen anhand verschiedener Quellen – zum Beispiel Hersteller-Bulletins oder öffentlicher Datenbanken wie die CVE-Feeds (Common Vulnerabilities and Exposures) –, ob eine Software verwundbar ist. Dieses Verfahren bezeichnet man als Verwundbarkeitsanalyse (VA).
Die CVE-Feeds sind eine der am häufigsten verwendeten Quellen für Schwachstelleninformationen. Diese Datenbank bietet den Vorteil, dass sie öffentlich zugänglich und kompatibel mit dem CPE-Standard (Common Platform Enumeration) ist.
Der Artikel skizziert eine VA-Methode, in der die CPE-Dictionary als Quelle für die Software-IDs im Zusammenhang mit den CVE-Feeds eingesetzt wird. Darüber hinaus präsentieren die Autoren Ergebnisse einer Evaluierung, die einige negative Aspekte wie den Mangel an Synchronisation von CPE-Dictionary und CVE-Feeds zeigt. Zudem geben sie Empfehlungen, die diese Nachteile berücksichtigen, damit eine Verwundbarkeitsanalyse zuverlässige und korrekte Resultate liefert.
Beschreibung und Einsatz des CPE-Standards
Der CPE-Standard definiert ein Schema für die Benennung von IT-Produkten. Auf diese Weise lassen sich Software- und Hardwareprodukte eindeutig identifizieren. Das ermöglicht den Austausch von Produktinformationen (z. B. die Version einer Software) zwischen unterschiedlichen Systemen oder Schnittstellen, die den CPE-Standard erfüllen. Beispielsweise stellt ein Softwareinventarisierungssystem innerhalb eines Unternehmens die CPEs installierter Software zur Verfügung, sodass ein Verwundbarkeitsanalysesystem, das auch den CPE-Standard unterstützt, nach verwundbaren Versionen dieser Software suchen kann.
Um die Zuordnung einer CPE zu einem Softwareprodukt zu vereinfachen, bietet die National Vulnerability Database (NVD) eine XML-Datenbank (CPE-Dictionary), die die CPEs der meisten Softwareprodukte schon erfasst. Die CPE-Dictionary gilt als die offizielle Quelle von CPEs und ist öffentlich zugänglich. Im folgenden Beispiel sieht man den Eintrag der CPE-Dictionary (Version 2.3) für Mozilla Firefox 52.0:
