Schwachstellenmanagement: Effiziente Schwachstellenbewertung mit Hilfe von EPSS

Foto: issaro prakalung – shutterstock.com

Laut dem Security-Anbieter Rezilion sind führende Systeme zum Erkennen von Schwachstellen wie das Common Vulnerability Scoring System (CVSS) und der von der US Cybersecurity and Infrastructure Security Agency (CISA) verwaltete Katalog bekannter ausgenutzter Schwachstellen (KEV) immer noch nicht in der Lage, den Schweregrad und die Ausnutzbarkeit einer Schwachstelle effektiv vorherzusagen, so dass ein vollständiges und genaues Bewertungssystem erforderlich ist.

“Es hat sich gezeigt, dass die alleinige Verwendung eines CVSS-Schweregrads zur Bewertung des Risikos einzelner Schwachstellen einer willkürlichen Auswahl von Schwachstellen zur Behebung gleichkommt”, heißt es in einer Studie des Sicherheitsunternehmens. “Es wird zusätzlicher Kontext benötigt, um eine skalierbarere und effektivere Priorisierungsstrategie zu ermöglichen”.

Probleme mit CVSS und KEV

Die Studie kommt zu dem Schluss, dass CVSS weder skalierbar noch effektiv ist. Die Autoren kritisieren, dass dabei nicht einmal das tatsächliche Risiko widergespiegelt wird. In einer kürzlich in Zusammenarbeit mit Ponemon durchgeführten Umfrage stellte Rezilion zudem fest, dass die meisten der befragten Unternehmen große Rückstände bei der Behebung von Schwachstellen aufweisen. Demnach haben mehr als 57 Prozent der Schwachstellen, die derzeit in der US National Vulnerability Database (NVD) mit CVSS V3 aufgelistet sind, einen hohen oder kritischen Basiswert, während ein durchschnittliches Unternehmen nur etwa 10 Prozent der Schwachstellen in seiner Umgebung jeden Monat patchen kann.

Weniger als 5 Prozent der Schwachstellen werden jemals ausgenutzt, und nur ein Bruchteil dieser Schwachstellen kann im Kontext einer bestimmten Umgebung ausgenutzt werden, so das Unternehmen. “Nur 2,24 Prozent der Schwachstellen in NVD haben einen waffenfähigen Exploit-Code”, heißt es in der Studie weiter.

“Daher ist die Verschwendung wertvoller Ressourcen, um Tausende von Schwachstellen mit hohem und kritischem Schweregrad nach ihrem CVSS-Score zu bewerten, nicht unbedingt eine effektive Nutzung der Ressourcen”, so die Rezilion-Experten.

Auch KEV bietet laut Studie keinen vollständigen Überblick über die Schwachstellen, da es nur die Schwachstellen auflistet, die bereits ausgenutzt werden oder wurden und die eine CVE-ID und klare Anweisungen zur Behebung haben. Der Katalog ermöglicht es allerdings, dass Schwachstellen auch noch Jahre nach ihrer ersten Ausnutzung aufgelistet werden.

Michael Sampson, Analyst bei Osterman Research, sieht einige Vorteile in der Einführung eines neuen Klassifizierungssystems. “Ich stimme zu, dass CVSS allein nicht ausreicht, um eine Priorisierung der Schwachstellen vorzunehmen, die in einer bestimmten Organisation behoben werden müssen”, so Sampson. “Angesichts der Schwächen bei der Aktualität der Daten in CISA KEV und unter der Annahme, dass der EPSS-Ansatz skalierbar und zeitnaher ist, sollten Unternehmen die Verwendung dieses Systems prüfen.”

EPSS als Alternative

EPSS ist ein datengesteuertes Bewertungssystem, das die Wahrscheinlichkeit vorhersagt, mit der eine bekannte Schwachstelle ausgenutzt wird. Es ist das Ergebnis einer Zusammenarbeit von mehr als 170 globalen Sicherheitsexperten.

Da es auf einem Machine-Learning-Algorithmus (ML) basiert, passt sich EPSS auch an neue Informationen an, die nach der ersten Veröffentlichung einer Schwachstelle veröffentlicht werden. Um die Ausnutzungswahrscheinlichkeit vorherzusagen, verwendet EPSS einen Gradient-Boosting-Entscheidungsbaum-Algorithmus. Dieser wird mit einem Datenkorpus mit 1478 Variablen aus den CVE-Listen von NVD und MITRE sowie aus anderen Quellen trainiert.

EPSS listet derzeit 206.859 der 220.914 Schwachstellen in der NVD auf, mit Ausnahme derjenigen, die unter “abgelehnt” oder “reserviert” aufgeführt sind. Es bewertet die meisten CVEs mit einer sehr geringen Wahrscheinlichkeit der Ausnutzung, wobei nur 6 Prozenteine Ausnutzungswahrscheinlichkeit von mehr als 10 Prozent haben, was sich mit den Erkenntnissen der Sicherheitsbehörden deckt, dass nur 5 von 100 Schwachstellen jemals ausgenutzt werden.

Rezilion weist jedoch in seiner Studie auch darauf hin, dass EPSS ein probabilistisches Modell ist und möglicherweise Einschränkungen bei den Trainingsdaten aufweist. Laut Sampson von Osterman sollte das potenzielle Nutzer aber nicht abhalten. “Im Prinzip ist alles, was eine Priorisierung dessen ermöglicht, was ein bestimmtes Sicherheitsteam als Erstes, Zweites oder Nächstes angehen sollte, basierend auf mehreren realen Eingaben aus dem Unternehmen (und darüber hinaus), eine gute Sache”, so Sampson. Der Experte räumt ein, dass es aber auf dem neuesten Stand sein muss. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.