Seite 4: Vorgehen und Empfehlungen beim Durchführen einer VA

Inhaltsverzeichnis

Grundsätzlich sind für die Implementierung einer Verwundbarkeitsanalyse die Ergebnisse der oben vorgestellten Evaluierung zu berücksichtigen. Außerdem ist es empfehlenswert, für die Phasen (CPE-Zuweisung und CVE-Suche) einer VA die folgenden Punkte zu beachten:

CPE-Zuweisung

Die Zuweisung einer CPE-ID zu einem Softwareprodukt sollte nicht vollautomatisch erfolgen. Anhand von Daten wie Vendor, Produkt oder Version, die die Inventardatenbank zur Verfügung stellt (s. Abb. 3), sollten passende CPE-ID-Kandidaten für eine Software in der CPE-Dictionary gesucht werden. Im nächsten Schritt wählt man mit der vorhandenen Selektion die CPE-ID für das jeweilige Produkt aus.

Es ist wahrscheinlich, dass keine 100-prozentigen Übereinstimmungen mit den Informationen zu einem Softwareprodukt vorhanden sind. In dem Fall sollte die VA-Implementierung die Möglichkeit bieten, eine CPE-ID anzupassen. Darüber hinaus muss man sich während der Implementierung, bei der Anpassung oder Erzeugung einer CPE-ID, an die CPE-Spezifikation halten.

CVE-Suche

Da dieselbe Institution (NVD) CPE-Dictionary und CVE-Feeds verwaltet, könnte man meinen, dass die CPEs, die in der CVE-Feeds sind, eine Teilmenge der CVE-Dictionary sind. Wie die Evaluierung zeigt, ist diese Annahme nicht korrekt. Deshalb sollten nicht nur exakte Übereinstimmungen der CPE-ID einer Software in den CVE-Feeds gesucht werden, sondern auch ähnliche CPEs.

Die Ähnlichkeit zwischen zwei CPEs lässt sich anhand von Attributen wie Vendor einer CPE-ID bewerten. Das bedeutet, dass die Attribute der CPE-ID einer Software mit den Attributen der CPEs eines CVE-Eintrags abgeglichen werden. Welche Attribute eine CPE enthält, ist in der CPE-Spezifikation definiert.

Die CPE-ID muss nicht das einzige Element sein, um CVEs für ein Softwareprodukt in den CVE-Feeds zu suchen. Wie im Abschnitt zur Evaluierung erwähnt, gibt es CVE-Einträge ohne CPE. In diesen Fällen lässt sich die CVE-Suche mit dem Element "summary" (s. Abb. 2) durchführen. Hier werden Informationen wie Vendor, Produkt oder Version einer Software gegen den Text des "summary"-Elements abgeglichen.

Fazit

Sicherheitslücken in Softwareprodukten können Cyber-Angriffe gegen Unternehmen ermöglichen. Deswegen müssen Unternehmen ständig nach Verwundbarkeiten in den installierten Softwareprodukten suchen. Dieser Prozess wird als Verwundbarkeitsanalyse (VA) bezeichnet. Der Artikel hat zusammengefasst, wie sich eine VA anhand der CPE-Dictionary und der CVE-Feeds realisieren lässt (s. Abb. 3). Die beiden Datenbanken sind öffentlich verfügbar und miteinander kompatibel, was einen großen Vorteil für die Implementierung einer Verwundbarkeitsanalyse darstellt.

Um falsche Ergebnisse einer VA zu vermeiden, sind jedoch einige Aspekte dieser Datenbanken zu berücksichtigen. Beispielsweise besteht keine Synchronisierung zwischen beiden Datenbanken. Wenn diese Nachteile sorgfältig analysiert werden, lassen sich Verwundbarkeitsanalysen einfach, effektiv und kostengünstig implementieren. Die Autoren geben auch Empfehlungen, wie man mit diesen Problemen umgehen kann. Es gibt ein Tool auf Gitlab, das diese Empfehlungen implementiert und die Nachteile der CPE-Dictionary und CVE-Feeds berücksichtigt.

Luis Alberto Benthin Sanguino
ist bei der adesso AG in der Line of Business Automotive DEV am Standort München tätig. Er befasst sich mit Themen im Bereich IT-Sicherheit – insbesondere Verwundbarkeitsanalyse, Penetrationstests und Analyse bösartiger Webseiten.

Martin März
beschäftigt sich schwerpunktmäßig mit der Beratung zur IT- und Informationssicherheit und ist bei der adesso AG in den Bereichen Public und Finance tätig. Die Leistung seiner Beratung erstreckt sich von der Planung, Umsetzung und Aufrechterhaltung von Informationssicherheitsmanagementsystemen
(ISMS) nach ISO 27001 bis hin zum Erstellen von Sicherheitskonzepten nach dem BSI-Grundschutz. (ane)