Vulnerability Management Flashcards
Ziele des Vulnerability Management
Bewusstmachung existierender Schwachstellen und diese so gut wie möglich abzusichern. Dafür müssen:
- Rollen & Verantwortlichkeiten festgelegt werden
- Anforderungen und daraus resultierende Maßnahmen dokumentiert werden
- Aufgaben priorisiert werden
Abgrenzung und Schnittmengen
- Patch Management: Aktualisierung von Systemen, Hardware und Software (Ziel: verändernde Eingriffe steuer- und kontrollierbar gestalten)
- Risikomanagement: Bewertung und Behandlung von Schwachstellen (in Bezug auf Assets und Bedrohungen)
- Responsible Disclosure: Geheimhaltung von identifizierten Schwachstellen
Common Vulnerability Scoring System (CVSS)
- Offenes Framework zum Einschätzen der Charakteristik und Schwere einer Softwareschwachstelle (notwendig für Priorisierung)
-> Basic Metric Group: Schweregrad einer Schwachstelle gemäß ihren Eigenschaften, unabhängig vom Schutzbedarf
-> Temporal Metric Group: Merkmale einer Schwachstelle, die sich im Laufe der Zeit ändern könnte
-> Environmental Metric Group: Merkmale einer Schwachstelle, die für die Umgebung eines bestimmten Benutzers relevant und einzigartig sind - Skala von 1 bis 10
CVSS: Basic Metric Group
- Attack Vendor
- Attack Complexity
- Privileges Required
- User Interaction
- Scope
- Confidentiality Impact
- Integrity Impact
- Availability Impact
CVSS: Temporal Metric Group
- Exploit Code Maturity
- Remediation Level
- Report Confidence
CVSS: Environmental Metric Group
- Confidentiality/Integrity/Availability Requirement
- Modified Base Metric
Common Weakness Scoring System (CWSS)
- Mechanismus zur konsistenten, flexiblen und offenen Priorisierung von Softwareschwächen
-> Basic Finding: erfasst das inhärente Risiko der Schwachstelle, das Vertrauen in die Genauigkeit des Fundes und die Stärke der Schutzmaßnahmen
-> Attack Surface: beschreibt die Barrieren, die ein Angreifer überwinden muss, um die Schwachstelle auszunutzen
-> Environmental: Merkmale der Schwachstelle, die für eine bestimmte Umgebung oder einen bestimmten betrieblichen Kontext spezifisch sind - Skala von 1 bis 100
CWSS: Basic Finding
- Technical Impact
- Aquired Privilege
- Aquired Privilege Layer
- Internal Control Effectiveness
- Finding Confidence
CWSS: Attack Surface
- Required Privilege
- Required Privilege Layer
- Access Vector
- Authentication Strength
- Level of Interaction
- Deployment Scope
CWSS: Environmental
- Business Impact
- Likelihood of Discovery
- Likelihood of Exploit
- External Control Effectiveness
- Prevalence
Umgang mit Schwachstellen
- Risikomanagement
- Maßnahmen
- Change Management
- Incident Response Team
Einholen von Informationen über Schwachstellen: Interne Informationsquellen
- Vulnerability Scan
- Penetration Testing
-> White Box Testing: Pentester hat vollständige Informationen über das gesamte System
-> Black Box Testing: Pentester hat keine Informationen über das System
-> Grey Box Testing: Pentester hat Teil-Informationen über das System
Einholen von Informationen über Schwachstellen: Öffentliche Informationsquellen
- Common Vulnerabilities and Exposures
-> öffentlich bekannt gewordene Schwachstellen werden ermittelt und katalogisiert - National Vulnerability Database
-> Standardisierte Daten zum VM
-> Betroffene Hard- und Software werden identifiziert - Open Vulnerability and Assessment Language
-> Standardisierung der Bewertung und Berichterstattung über den Zustand von Systemen
-> Standard zur Bestimmung von Schwachstellen und Fehlkonfigurationen
CVSS: Basic Metric Group: Attack Vector
Kontext, in dem die Ausnutzung von Schwachstellen möglich ist, Wert ist umso größer, je weiter entfernt (logisch und physisch) ein Angreifer sein kann, um die anfällige Komponente auszunutzen
CVSS: Basic Metric Group: Attack Complexity
Bedingungen außerhalb der Kontrolle des Angreifers, je komplexer, desto geringer der Wert
CVSS: Basic Metric Group: Privileges Required
Rechteebene, die ein Angreifer besitzen muss, bevor er die Schwachstelle erfolgreich ausnutzt, je geringer die notwendigen Rechte, desto höher ein Wert
CVSS: Basic Metric Group: User Interaction
Anforderung für einen menschlichen Benutzer, der nicht der Angreifer ist, an der erfolgreichen Kompromittierung der anfälligen Komponente teilzunehmen, ist keine Interaktion notwendig, ist der Wert am höchsten
CVSS: Basic Metric Group: Scope
gibt an, ob eine Schwachstelle in einer anfälligen Komponente Ressourcen in Komponenten außerhalb ihres Sicherheitsbereiches beeinträchtigt
CVSS: Basic Metric Group: Confidentiality Impact
misst die Auswirkungen auf die Vertraulichkeit der Informationen, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind
CVVS: Basic Metric Group: Integrity Impact
misst die Auswirkungen auf die Integrität der Informationen, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind
CVSS: Basic Metric Group: Availability Impact
misst die Auswirkungen auf die Verfügbarkeit der IT-Systeme, unabhängig davon, wie schützenswerte die Daten für die betroffene Organisation sind
CVSS: Temporal Metric Group: Exploit Code Maturity
Wahrscheinlichkeit eines Angriffs auf die Schwachstelle, basierend auf dem aktuellen Stand der Exploit-Techniken, der Verfügbarkeit von Exploit-Code oder der aktiven “in-the-wild” Ausnutzung
CVSS: Basic Metric Group: Remediation Level
Behebungsgrad einer Schwachstelle, ob ungepatcht, Workaround oder offizieller Fix
CVSS: Basic Metric Group: Report Confidence
Vertrauen in die Existenz der Schwachstelle und die Glaubwürdigkeit der bekannten technischen Details
CVSS: Environmental Metric Group: Confidentiality/Integrity/Availability Requirement
Anpassung des CVSS-Scores abhängig von der Bedeutung des betroffenen Assets für die Organisation
CVSS: Environmental Metric Group: Modified Base Metrics
Möglichkeit, Basismetriken basierend auf spezifischen Merkmalen der Umgebung zu überschreiben
CWSS: Basic Finding: Technical Impact
potenzielles Ergebnis, das durch die Schwachstelle erzeugt werden kann
CWSS: Basic Finding: Acquired Privilege
erworbene Berechtigung, die ein Angreifer erhält, der die Schwachstelle erfolgreich ausnutzen kann
CWSS: Basic Finding: Acquired Privilege Layer
identifiziert die operative Schicht, für die der Angreifer Privilegien erhält, indem er die Schwachstelle erfolgreich ausnutzt
CWSS: Basic Finding: Internal Control Effectiveness
Schutzmechanismus oder Risikominderung, die explizit in die Software integriert wurde
CWSS: Basic Finding: Finding Confidence
Bestätigung, dass das gemeldete Problem eine Schwachstelle ist und von einem Angreifer ausgelöst oder ausgenutzt werden kann
CWSS: Attack Surface: Required Privilege
erforderliche Berechtigung, die ein Angreifer bereits haben muss, um an den Code/die Funktionalität zu gelangen, die die Schwachstelle enthält
CWSS: Attack Surface: Required Privilege Layer
operative Schicht, für die der Angreifer Berechtigungen haben muss, um zu versuchen, die Schwachstelle anzugreifen
CWSS: Attack Surface: Access Vector
Kanal, über den ein Angreifer kommunizieren muss, um an den Code oder die Funktionalität zu gelangen, die die Schwachstelle zu kommen
CWSS: Attack Surface: Authentication Strength
Stärke der Authentifizierungsroutine, die den Code/die Funktionalität zu gelangen, die die Schwachstelle enthält
CWSS: Attack Surface: Level of Interaction
umfasst die Aktionen, die von den menschlichen Opfern erforderlich sind, um einen erfolgreichen Angriff zu ermöglichen
CWSS: Attack Surface: Deployment Scope
Identifiziert, ob die Schwachstellen in allen implementierten Instanzen der Software vorhanden ist oder ob sie auf eine Teilmenge von Plattformen und/oder Konfigurationen beschränkt ist
CWSS: Environmental: Business Impact
Möglichen Auswirkungen auf das Unternehmen oder die Mission, wenn die Schwachstelle erfolgreich ausgenutzt werden kann
CWSS: Environmental: Likelihood of Discovery
Wahrscheinlichkeit, mit der ein Angreifer die Schwachstelle entdecken kann
CWSS: Environmental: Likelihood of Exploit
Wahrscheinlichkeit, dass ein Angreifer mit den erforderlichen Rechten/Authentifizierung/Zugriff die Schwachstelle erfolgreich ausnutzen kann, wenn die Schwachstelle entdeckt wird
CWSS: Environmental: External Control Effectiveness
Fähigkeit von Abwehrmaßnahmen außerhalb der Software, die es einem Angreifer erschweren können, die Schwachstelle zu erreichen und/oder auszulösen
CWSS: Environmental: Prevalence
Gibt an, wie häufig diese Art von Schwachstelle in Software auftritt
Definition Vulnerability Management
Prozess der Identifizierung von Schwachstellen in einem System und die Einstufung dieser Schwachstellen nach ihrem Schweregrad
Patching vs. Mitigation
- Patching:
-> wenn von vertrauenswürdiger Stelle verfügbar: muss auf Risiken untersucht und getestet werden - Mitigation:
-> Alternativen, wenn kein (effektiver) Patch verfügbar ist, um Risiko abzumildern