Bewertungsverfahren bei einem manuellem Security Assessment
Bei einem manuellem Security Assessment werden im finalem Bericht die Ergebnisse nach dem Schweregrade der Sicherheitslücke im IT-System geordnet. Zur Bewertung wird dabei das Common Vulnerability Scoring System (kurz CVSS) in der Version 3 herangezogen.
Beim CVSS handelt es sich um einen weltweiten Industriestandard, welcher die Messung und Beschreibung von Sicherheitslücken allgemein verständlich und nachvollziehbar machen soll. Aktiv weiterentwickelt wird der Standard vom Forum of Incident Response and Security Teams (FIRST).
Jeder Sicherheitslücke wird dabei ein numerischer Wert von 0,0 bis 10,0 zugeschrieben - wobei 0,0 den geringsten und 10,0 den höchsten Schweregrad einer Sicherheitslücke darstellt. Zusätzlich erfolgt, basierend auf dem numerischen Wert, eine Einteilung durch die Schlüsselwörter "none", "low", "medium", "high" und "critical" nach folgendem Schema:
- none: numerischer Wert von 0.0
- low: numerischer Wert von 0.1 bis 3.9
- medium: numerischer Wert von 4.0 bis 6.9
- high: numerischer Wert von 7.0 bis 8.9
- critical: numerischer Wert von 9.0 bis 10.0
Bewertet werden die Sicherheitslücken mit einem eigenen Rechner, welcher unter https://www.first.org/cvss/calculator/3.1 zur Verfügung steht. Dabei setzt sich der numerische Wert aus verschiedenen Metriken zusammen, die aus drei Kategorieren stammen. Die Hauptkategorie nennt sich "Base Score". Erst wenn alle Metriken dieser Kategorie ausgefüllt sind, wird ein numerischer Wert von CVSS generiert. Zu den Metriken zählen zum Beispiel der Angriffsvektor, also ob die Schwachstelle übers Internet oder etwa nur mit physischem Zugriff auf das IT-System ausnutzbar ist, die Komplexität des Angriffs und die drei Grundsäulen der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit.
Zusätzlich zum "Base Score" kann der Wert noch durch die zwei Nebenkategorien "Temporal Score" und "Environmental Score" adjustiert werden, um eine präsizere Bewertung abzugeben. Eine vollständige Dokumentation der drei Kategorieren sowie der einzelnen Metriken inklusive Anwendungsbeispielen ist öffentlich unter https://www.first.org/cvss/v3.1/specification-document einsehbar.
Und wie schaut es bei Offensity aus?
Offensity setzt zum Bewerten der gefundenen Sicherheitslücken auf ein eigenes - für Kunden optimiertes und auf das Ziel des Produktes gerichtetes - Bewertungsverfahren, welches an CVSS angelehnt ist.
Dabei stehen ebenfalls die drei Grundsäulen Vertraulichkeit, Integrität und Verfügbarkeit im Fokus. Jedoch werden diese einzeln bewertet und bekommen jeweils einen numerischen Wert (ein Level) zugeordnet, anstatt aus diesen ein gemeinsames Ergebnis zu generieren. Dies hat den Vorteil, dass Kunden im Dashboard der einzelnen Sicherheitslücken direkt auf einen Blick erkennen, welcher Grundpfeiler in welchem Ausmaß betroffen ist. Die Bewertungsskala reicht dabei von 1 bis 5, wobei Level 1 keine Bedrohung für diesen Grundpfeiler darstellt und Level 5 ein kritisches Ausmaß repräsentiert.
Folgendes Aufzählung beschreibt die Zuordnung von schriftlichem Schlüsselwort und numerischem Level:
- none: Level 1
- low: Level 2
- medium: Level 3
- high: Level 4
- critical: Level 5
Unter https://www.offensity.com/en/docs/risk-ratings/ ist die vollständige Dokumentation des Bewertungssystems inklusiver ausführlicher Beschreibung, was genau die Auswirkung dieser Einstufung bedeutet, und wie im Management darauf reagiert werden soll.
Warum ein transparentes Bewertungsverfahren nun so wichtig ist?
Um, nachdem ausführlicher Insight zu unseren Bewertungsverfahren gegeben worden ist, diesen Blogpost mit der eigentlichen Frage abzuschließen, warum denn nun ein transparentes Bewertungsverfahren von Schwachstellen so wichtig ist:
- Ein transparentes Bewertungsverfahren verbessert die Nachvollziehbarket der Ergebnisse auf Kundenseite
- Bei numerischen Werten können die Ergebnisse eindeutig gereiht und priorisiert werden
- Eine klare Dokumentation, wie Ergebnisse bewertet werden, hilft, Fragen vorzubeugen und spart Zeit ein, welche andernfalls für Rückfragen und Diskussionen verwendet wäre