Seite 2: CVSS-Möglichkeiten voll ausschöpfen

Inhaltsverzeichnis

Wenn in öffentlichen Quellen wie der National Vulnerability Database (NVD), auf einer Hersteller-Website oder auch in IT-Security-Nachrichten ein CVSS-Score auftaucht, handelt es sich meist um den Base Score. Dieser Wert, den der Schwachstellen-Entdecker, ein Produkthersteller oder das koordinierenden CERT berechnet, misst den Schweregrad einer Schwachstelle anhand allgemeingültiger Merkmale. Dazu zählt etwa der Angriffsweg oder die Frage, ob für eine Attacke eine Nutzerinteraktion erforderlich ist. Er bildet demzufolge das konstante Kernstück der Schwachstellenbewertung.

Was der Base Score allerdings nicht leisten kann, ist eine abschließende Bewertung des tatsächlichen Risikos, das von einer Sicherheitslücke ausgeht. Denn dieses ist zeitlich veränderlich und kann sich unter anderem drastisch erhöhen, wenn ein Exploit in freier Wildbahn auftaucht. Zudem ist es auch abhängig von individuellen Faktoren, wie der Vertrauenswürdigkeit und Zuverlässigkeit des betroffenen Systems und seiner Umgebung in einem spezifischen Unternehmen.

Um diesem Defizit zu begegnen, umfasst CVSS schon seit Längerem zwei zusätzliche Metrikgruppen, die zeitliche und Umgebungsfaktoren berücksichtigen. Damit können Firmen und Organisationen entsprechend individueller Gegebenheiten ergänzende Teilscores berechnen. In Kombination mit dem Base Score entsteht ein angepasster Gesamtscore, der die tatsächliche Gefahrenlage deutlich realistischer abbilden soll.

Ein nützliches Werkzeug also, das aus Sicht von FIRST bislang zu wenig genutzt wird. Denn für IT-Verantwortliche bedeuten die eigenen, ergänzenden Berechnungen einen Mehraufwand gegenüber dem bloßen Konsumieren bestehender Base Scores. Um die Wichtigkeit der Zusatzmetriken für die Risikobewertung zu betonen, führt die Organisation mit v4.0 eine neue, abgrenzende Nomenklatur ein. Der User Guide zur neuen Version empfiehlt, künftig konsequent die folgenden Bezeichner zu verwenden, wann immer irgendwo ein CVSS-Score veröffentlicht oder kommuniziert wird:

• CVSS-B: Base Metrics
• CVSS-BE: Base + Environmental Metrics
• CVSS-BT: Base + Threat Metrics
• CVSS-BTE: Base + Threat + Environmental Metrics