CVSS 4.0: Vulnerability-Durchbruch oder Totgeburt?

Foto: Andrii Yalanskyi – shutterstock.com

Jeder, der im Bereich Cybersicherheit mit Schwachstellen in technischen Systemen zu tun hat, stößt unweigerlich auf das Common Vulnerability Scoring System (CVSS). Das System existiert bereits seit dem Jahr 2005 und wurde initiiert, um eine standardisierte Methode zu etablieren, um die Charakteristiken von Schwachstellen zu diskutieren und ihren Schweregrad mit einer qualitativen Metrik für Unternehmen greifbar zu machen. Inzwischen ist CVSS das maßgebliche System, um Vulnerabilities zu bewerten und wird unter anderem vom US-amerikanischen NIST und diversen Sicherheitsanbietern herangezogen.

Dennoch muss sich CVSS seit längerem scharfe Kritik gefallen lassen. Sein Bewertungsansatz sei zu komplex, zu subjektiv und werde häufig zur Priorisierung von Schwachstellen missbraucht. Die CVSS Special Interest Group (die vom globalen Cybersecurity-Forum FIRST betrieben wird) hat sich diese Kritik zu Herzen genommen und das Framework kontinuierlich weiterentwickelt. Nun steht CVSS 4.0 kurz vor der Veröffentlichung, der offizielle Launch-Termin ist für den 1. Oktober 2023 angesetzt.

CVSS 4.0 – das ist neu

Bis es soweit ist, läuft eine Public-Preview- und Kommentierungsphase. Anfang 2023 hielten Dave Dugal und Dale Rich von der CVSS SIG einen Vortrag (PDF), in dem sie wichtige Punkte wie die Chronologie von CVSS, die Herausforderungen bei CVSS 3.0 und die Zielsetzungen für CVSS 4.0 behandelten. Dabei betonten Dugal und Rich, dass CVSS weit mehr sei als ein Basis-Score-Repository und die Qualität steige, je mehr Metriken verwendet würden, um das CVSS-Scoring-System anzureichern.

Um dem Problem zu begegnen, dass häufig nur der CVSS Base Score verbreitet und die übrigen Metriken vernachlässigt werden, werden im Rahmen von CVSS 4.0 neue Nomeklaturen eingeführt. Zum Beispiel:

• CVSS-B: CVSS Base Score

• CVSS-BT: CVSS Base + Threat Score

• CVSS-BE: Basis + Environmental Score

• CVSS-BTE: CVSS Base + Threat + Environmental Score

Weitere wichtige Änderungen sind:

• die Einführung einer neuen Basismetrik mit dem Titel “Attack Requirements”,

• eine Aktualisierung der Metrik “User Interaction” sowie

• die Abschaffung der Basismetrik “Scope”.

Darüber hinaus wird eine zusätzliche Gruppe von Metriken (Supplemental Metric Group) eingeführt, um weitere extrinsische Attribute von Schwachstellen zu berücksichtigen. Damit sollen nachgelagerte Verbraucher beziehungsweise Organisationen in die Lage versetzt werden, Schwachstellen anhand ihres jeweiligen lokalen Kontextes (Business Criticality, Datensensibilität) optimal zu priorisieren. Sicherheitsforscher Patrick Garrity vom Vulnerability-Spezialisten Nucleus Security hat ein umfassendes Schaubild kreiert, das einen detaillierten Überblick zu den Änderungen von CVSS 3.1 zu CVSS 4.0 bietet:

Foto: Patrick Garrit / Nucleus

Die Challenges für CVSS 4.0

Obwohl CVSS 4.0 mehrere Verbesserungen und Änderungen an den Metriken mit sich bringt und einige seit langem bestehende Kritikpunkte behebt, bleiben Herausforderungen bestehen. Eines der größten Probleme ist dabei, dass zwar empfohlen wird, mehr als nur die CVSS-Basismetriken zu verwenden, um maximale Wirksamkeit zu erzielen, diese aber letztendlich in diversen Quellen verfügbar gemacht werden, während anderen Metriken von den nachgeschalteten Nutzern analysiert werden müssen.

Deswegen bleibt noch viel zu tun, um eine genaue Bewertung der Schwachstellenprioritäten und Maßnahmen zu entwickeln. Das wäre nicht so schlimm, wenn es nicht Studien gäbe, die belegen, dass viele Unternehmen mit Hunderttausenden von Schwachstellen im Rückstand sind und Schwierigkeiten haben, mit der ständig steigenden Zahl von Vulnerabilities Schritt zu halten. Das ist zwar eher ein branchenweites Problem als eine spezifisches von CVSS – es verdeutlicht aber, dass CVSS allein für die Schwachstellen-Priorisierung nicht ausreicht.

Dazu kommt: Im Hinblick auf ausgenutzte Schwachstellen gibt es inzwischen Quellen wie den “Known Exploited Vulnerabilities Catalogue” der US-Cybersicherheitsbehörde CISA, der sich zwar in erster Linie an amerikanische Bundesbehörden richtet, aber auch für kommerzielle Organisationen nützlich ist. Darüber hinaus gibt es noch das “Exploit Prediction Scoring System” (EPSS), das allmählich in der Industrie Fuß fasst und ironischerweise ebenfalls von FIRST verantwortet wird – wenn auch von einer anderen Interessengruppe.

Die bedauerliche Realität ist, dass es in einer Branche, die sich oft von Marketing-Hypes und Versprechungen von Patentrezepten leiten lässt, in Wahrheit keines gibt. Denn kein System zur Schwachstellenbewertung ist für sich allein genommen ein Allheilmittel, insofern es nicht mit unternehmens- beziehungsweise organisationsspezifischem Kontext und einer genauen Analyse der aktuellen Bedrohungslandschaft angereichert wird.

Abgesehen davon bietet CVSS 4.0 einige Verbesserungen und vielversprechende Innovationen in Sachen Cloud-Native-Technologien, APIs und KI. Dennoch müssen Unternehmen weiterhin ihren Teil zur Schwachstellen-Priorisierung beitragen – und dazu beispielsweise die sich entwickelnde Landschaft von Vulnerability-Datenbanken nutzen – beispielsweise in Form von:

• National Vulnerability Database (NVD),

• OSS Index,

• Global Security Database oder

• GitHub Security Advisories.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.