Vulnerability Management

Question 1

Ziele des Vulnerability Management

Answer 1

Bewusstmachung existierender Schwachstellen und diese so gut wie möglich abzusichern. Dafür müssen:
- Rollen & Verantwortlichkeiten festgelegt werden
- Anforderungen und daraus resultierende Maßnahmen dokumentiert werden
- Aufgaben priorisiert werden

Question 2

Abgrenzung und Schnittmengen

Answer 2

• Patch Management: Aktualisierung von Systemen, Hardware und Software (Ziel: verändernde Eingriffe steuer- und kontrollierbar gestalten)
• Risikomanagement: Bewertung und Behandlung von Schwachstellen (in Bezug auf Assets und Bedrohungen)
• Responsible Disclosure: Geheimhaltung von identifizierten Schwachstellen

Question 3

Common Vulnerability Scoring System (CVSS)

Answer 3

• Offenes Framework zum Einschätzen der Charakteristik und Schwere einer Softwareschwachstelle (notwendig für Priorisierung)
  -> Basic Metric Group: Schweregrad einer Schwachstelle gemäß ihren Eigenschaften, unabhängig vom Schutzbedarf
  -> Temporal Metric Group: Merkmale einer Schwachstelle, die sich im Laufe der Zeit ändern könnte
  -> Environmental Metric Group: Merkmale einer Schwachstelle, die für die Umgebung eines bestimmten Benutzers relevant und einzigartig sind
• Skala von 1 bis 10

Question 4

CVSS: Basic Metric Group

Answer 4

• Attack Vendor
• Attack Complexity
• Privileges Required
• User Interaction
• Scope
• Confidentiality Impact
• Integrity Impact
• Availability Impact

Question 5

CVSS: Temporal Metric Group

Answer 5

• Exploit Code Maturity
• Remediation Level
• Report Confidence

Question 6

CVSS: Environmental Metric Group

Answer 6

• Confidentiality/Integrity/Availability Requirement
• Modified Base Metric

Question 7

Common Weakness Scoring System (CWSS)

Answer 7

• Mechanismus zur konsistenten, flexiblen und offenen Priorisierung von Softwareschwächen
  -> Basic Finding: erfasst das inhärente Risiko der Schwachstelle, das Vertrauen in die Genauigkeit des Fundes und die Stärke der Schutzmaßnahmen
  -> Attack Surface: beschreibt die Barrieren, die ein Angreifer überwinden muss, um die Schwachstelle auszunutzen
  -> Environmental: Merkmale der Schwachstelle, die für eine bestimmte Umgebung oder einen bestimmten betrieblichen Kontext spezifisch sind
• Skala von 1 bis 100

Question 8

CWSS: Basic Finding

Answer 8

• Technical Impact
• Aquired Privilege
• Aquired Privilege Layer
• Internal Control Effectiveness
• Finding Confidence

Question 9

CWSS: Attack Surface

Answer 9

• Required Privilege
• Required Privilege Layer
• Access Vector
• Authentication Strength
• Level of Interaction
• Deployment Scope

Question 10

CWSS: Environmental

Answer 10

• Business Impact
• Likelihood of Discovery
• Likelihood of Exploit
• External Control Effectiveness
• Prevalence

Question 11

Umgang mit Schwachstellen

Answer 11

• Risikomanagement
• Maßnahmen
• Change Management
• Incident Response Team

Question 12

Einholen von Informationen über Schwachstellen: Interne Informationsquellen

Answer 12

• Vulnerability Scan
• Penetration Testing
  -> White Box Testing: Pentester hat vollständige Informationen über das gesamte System
  -> Black Box Testing: Pentester hat keine Informationen über das System
  -> Grey Box Testing: Pentester hat Teil-Informationen über das System

Question 13

Einholen von Informationen über Schwachstellen: Öffentliche Informationsquellen

Answer 13

• Common Vulnerabilities and Exposures
  -> öffentlich bekannt gewordene Schwachstellen werden ermittelt und katalogisiert
• National Vulnerability Database
  -> Standardisierte Daten zum VM
  -> Betroffene Hard- und Software werden identifiziert
• Open Vulnerability and Assessment Language
  -> Standardisierung der Bewertung und Berichterstattung über den Zustand von Systemen
  -> Standard zur Bestimmung von Schwachstellen und Fehlkonfigurationen

Question 14

CVSS: Basic Metric Group: Attack Vector

Answer 14

Kontext, in dem die Ausnutzung von Schwachstellen möglich ist, Wert ist umso größer, je weiter entfernt (logisch und physisch) ein Angreifer sein kann, um die anfällige Komponente auszunutzen

Question 15

CVSS: Basic Metric Group: Attack Complexity

Answer 15

Bedingungen außerhalb der Kontrolle des Angreifers, je komplexer, desto geringer der Wert

Question 16

CVSS: Basic Metric Group: Privileges Required

Answer 16

Rechteebene, die ein Angreifer besitzen muss, bevor er die Schwachstelle erfolgreich ausnutzt, je geringer die notwendigen Rechte, desto höher ein Wert

Question 17

CVSS: Basic Metric Group: User Interaction

Answer 17

Anforderung für einen menschlichen Benutzer, der nicht der Angreifer ist, an der erfolgreichen Kompromittierung der anfälligen Komponente teilzunehmen, ist keine Interaktion notwendig, ist der Wert am höchsten

Question 18

CVSS: Basic Metric Group: Scope

Answer 18

gibt an, ob eine Schwachstelle in einer anfälligen Komponente Ressourcen in Komponenten außerhalb ihres Sicherheitsbereiches beeinträchtigt

Question 19

CVSS: Basic Metric Group: Confidentiality Impact

Answer 19

misst die Auswirkungen auf die Vertraulichkeit der Informationen, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind

Question 20

CVVS: Basic Metric Group: Integrity Impact

Answer 20

misst die Auswirkungen auf die Integrität der Informationen, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind

Question 21

CVSS: Basic Metric Group: Availability Impact

Answer 21

misst die Auswirkungen auf die Verfügbarkeit der IT-Systeme, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind

Question 22

CVSS: Temporal Metric Group: Exploit Code Maturity

Answer 22

Wahrscheinlichkeit eines Angriffs auf die Schwachstelle, basierend auf dem aktuellen Stand der Exploit-Techniken, der Verfügbarkeit von Exploit-Code oder der aktiven “in-the-wild” Ausnutzung

Question 23

CVSS: Basic Metric Group: Remediation Level

Answer 23

Behebungsgrad einer Schwachstelle, ob ungepatcht, Workaround oder offizieller Fix

Question 24

CVSS: Basic Metric Group: Report Confidence

Answer 24

Vertrauen in die Existenz der Schwachstelle und die Glaubwürdigkeit der bekannten technischen Details

Question 25

CVSS: Environmental Metric Group: Confidentiality/Integrity/Availability Requirement

Answer 25

Anpassung des CVSS-Scores abhängig von der Bedeutung des betroffenen Assets für die Organisation

Question 26

CVSS: Environmental Metric Group: Modified Base Metrics

Answer 26

Möglichkeit, Basismetriken basierend auf spezifischen Merkmalen der Umgebung zu überschreiben

Question 27

CWSS: Basic Finding: Technical Impact

Answer 27

potenzielles Ergebnis, das durch die Schwachstelle erzeugt werden kann

Question 28

CWSS: Basic Finding: Acquired Privilege

Answer 28

erworbene Berechtigung, die ein Angreifer erhält, der die Schwachstelle erfolgreich ausnutzen kann

Question 29

CWSS: Basic Finding: Acquired Privilege Layer

Answer 29

identifiziert die operative Schicht, für die der Angreifer Privilegien erhält, indem er die Schwachstelle erfolgreich ausnutzt

Question 30

CWSS: Basic Finding: Internal Control Effectiveness

Answer 30

Schutzmechanismus oder Risikominderung, die explizit in die Software integriert wurde

Question 31

CWSS: Basic Finding: Finding Confidence

Answer 31

Bestätigung, dass das gemeldete Problem eine Schwachstelle ist und von einem Angreifer ausgelöst oder ausgenutzt werden kann

Question 32

CWSS: Attack Surface: Required Privilege

Answer 32

erforderliche Berechtigung, die ein Angreifer bereits haben muss, um an den Code/die Funktionalität zu gelangen, die die Schwachstelle enthält

Question 33

CWSS: Attack Surface: Required Privilege Layer

Answer 33

operative Schicht, für die der Angreifer Berechtigungen haben muss, um zu versuchen, die Schwachstelle anzugreifen

Question 34

CWSS: Attack Surface: Access Vector

Answer 34

Kanal, über den ein Angreifer kommunizieren muss, um an den Code oder die Funktionalität zu gelangen, die die Schwachstelle zu kommen

Question 35

CWSS: Attack Surface: Authentication Strength

Answer 35

Stärke der Authentifizierungsroutine, die den Code/die Funktionalität zu gelangen, die die Schwachstelle enthält

Question 36

CWSS: Attack Surface: Level of Interaction

Answer 36

umfasst die Aktionen, die von den menschlichen Opfern erforderlich sind, um einen erfolgreichen Angriff zu ermöglichen

Question 37

CWSS: Attack Surface: Deployment Scope

Answer 37

Identifiziert, ob die Schwachstellen in allen implementierten Instanzen der Software vorhanden ist oder ob sie auf eine Teilmenge von Plattformen und/oder Konfigurationen beschränkt ist

Question 38

CWSS: Environmental: Business Impact

Answer 38

Möglichen Auswirkungen auf das Unternehmen oder die Mission, wenn die Schwachstelle erfolgreich ausgenutzt werden kann

Question 39

CWSS: Environmental: Likelihood of Discovery

Answer 39

Wahrscheinlichkeit, mit der ein Angreifer die Schwachstelle entdecken kann

Question 40

CWSS: Environmental: Likelihood of Exploit

Answer 40

Wahrscheinlichkeit, dass ein Angreifer mit den erforderlichen Rechten/Authentifizierung/Zugriff die Schwachstelle erfolgreich ausnutzen kann, wenn die Schwachstelle entdeckt wird

Question 41

CWSS: Environmental: External Control Effectiveness

Answer 41

Fähigkeit von Abwehrmaßnahmen außerhalb der Software, die es einem Angreifer erschweren können, die Schwachstelle zu erreichen und/oder auszulösen

Question 42

CWSS: Environmental: Prevalence

Answer 42

Gibt an, wie häufig diese Art von Schwachstelle in Software auftritt

Question 43

Definition Vulnerability Management

Answer 43

Prozess der Identifizierung von Schwachstellen in einem System und die Einstufung dieser Schwachstellen nach ihrem Schweregrad

Question 44

Patching vs. Mitigation

Answer 44

• Patching:
  -> wenn von vertrauenswürdiger Stelle verfügbar: muss auf Risiken untersucht und getestet werden
• Mitigation:
  -> Alternativen, wenn kein (effektiver) Patch verfügbar ist, um Risiko abzumildern