FAQ

Ja, immer mehr Organisationen nutzen den EPSS als vorrangiges Kriterium, um zu entscheiden, welche Schwachstellen zuerst behoben werden sollen, insbesondere wenn sie mit einer großen Anzahl von zu behebenden Fehlern konfrontiert sind. Das Beheben aller CVEs mit einem hohen CVSS-Score kann kostspielig und ineffizient sein, insbesondere wenn einige nie ausgenutzt werden. Der EPSS ermöglicht es daher, die Ressourcen auf die wirklich gefährlichen Fehler zu konzentrieren.

Einige Sicherheitsrichtlinien beinhalten inzwischen Aktionsschwellenwerte, die auf dem EPSS basieren, z. B.: „Beheben Sie jede Schwachstelle mit einem EPSS-Score > 0,7 innerhalb von 48 Stunden“. Dieser pragmatische Ansatz ermöglicht es, die Behebung dort zu beschleunigen, wo sie am nützlichsten ist, und gleichzeitig ungerechtfertigte Unterbrechungen zu begrenzen.

Zero-Day-Schwachstellen sind besonders gefährlich, weil sie den Herstellern, den Benutzern und oft auch den herkömmlichen Sicherheitslösungen (Antivirus, IDS usw.) unbekannt sind. Das bedeutet, dass es zum Zeitpunkt des Angriffs keinen Fix, keinen Patch und oft auch keinen Mechanismus zur Erkennung oder zum Schutz gibt.

Angreifer können sie daher unentdeckt ausnutzen, oft im Rahmen gezielter und ausgefeilter Angriffe (Cyberespionage, Sabotage, längerfristiger Zugriff auf ein System). Ihr Wert ist so hoch, dass einige Zero-Days im Dark Web oder an staatliche Akteure für Hunderttausende von Euro verkauft werden.

CVEs spielen eine zentrale Rolle im Vulnerability Management. Sie bieten eine gemeinsame Sprache für alle Akteure der Cybersicherheit, um Schwachstellen zu verfolgen und zu dokumentieren. Dies ermöglicht es, Korrekturen zu priorisieren, Analysen zu automatisieren und die Sicherheitsüberwachung zu strukturieren. Ohne CVEs könnte jeder Herausgeber oder Forscher eine Schwachstelle anders beschreiben, was die Koordination erschweren würde.

Sie werden auch von Tools für Schwachstellenscans, SIEMs, SOCs und CISOs verwendet, um Richtlinien für die Reaktion auf Vorfälle zu erstellen. Ihre weltweite Akzeptanz stellt sicher, dass Schwachstellen identifizierbar sind und dass Abwehrmaßnahmen schneller und koordinierter aktiviert werden können.

Die von der CISA veröffentlichte KEV-Liste (Known Exploited Vulnerabilities) listet aktiv ausgenutzte Schwachstellen auf, d. h. solche, die bereits in realen Cyberangriffen eingesetzt werden. Ziel dieser Liste ist es, Organisationen bei der Priorisierung ihrer Korrekturmaßnahmen zu unterstützen, indem sie sich auf die Schwachstellen konzentrieren, die eine unmittelbare Bedrohung darstellen.

Mit der Veröffentlichung dieser Liste stellt die CISA ein sehr konkretes Instrument für das Risikomanagement zur Verfügung: Sie weist nicht nur auf bekannte Schwachstellen hin, sondern auch auf die kritischsten und dringendsten. Für US-Bundesbehörden ist die Behebung dieser Schwachstellen innerhalb strenger Fristen obligatorisch. Aber über die USA hinaus wird die KEV-Liste von Cybersicherheitsexperten auf der ganzen Welt konsultiert, um ihre Patch-Management-Strategie auszurichten.

EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.

Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.

CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).

Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.

Eine CVE (Common Vulnerabilities and Exposures) ist eine Sicherheitslücke, die bereits identifiziert, dokumentiert und in einer offiziellen Datenbank veröffentlicht wurde. Sie ist der Öffentlichkeit bekannt und in der Regel sind Patches in Arbeit oder bereits verfügbar. Im Gegensatz dazu ist eine Zero-Day-Schwachstelle eine noch nicht offengelegte Schwachstelle, die zum Zeitpunkt ihrer Entdeckung noch nicht in einer CVE registriert ist.

Mit anderen Worten: Jede Zero-Day-Schwachstelle kann zu einer CVE werden, aber nicht jede CVE ist eine Zero-Day-Schwachstelle. Das größte Risiko einer Zero-Day-Schwachstelle besteht darin, dass sie ausgenutzt werden kann, bevor sie überhaupt gemeldet wird, während eine CVE per Definition eine Schwachstelle ist, die sich in der Bearbeitungs- oder Korrekturphase befindet.

Eine CVE ist lediglich eine öffentliche Bekanntmachung, dass eine Schwachstelle in einem bestimmten Produkt existiert, während eine ausgenutzte Schwachstelle bedeutet, dass ein Angreifer diese Schwachstelle aktiv nutzt, um Systeme zu kompromittieren. Mit anderen Worten, nicht alle CVEs werden unter realen Bedingungen ausgenutzt: Einige können theoretisch oder technisch bleiben.

Umgekehrt kann eine Schwachstelle ausgenutzt werden, ohne dass sie bereits eine CVE erhalten hat - dies wird als Zero-Day bezeichnet. Um die tatsächliche Gefahr einer CVE zu beurteilen, müssen zusätzliche Informationen wie die KEV-Daten der CISA oder der EPSS-Score herangezogen werden, die angeben, ob die Schwachstelle aktiv in Cyberangriffen eingesetzt wird. Diese Informationen sind direkt auf unserer Website CVE Find verfügbar.

Fachleute für Cybersicherheit sind die Hauptnutzer von CAPEC: SOC-Analysten, Penetrationstester, Sicherheitsarchitekten, Entwickler, Ausbilder oder Threat-Intelligence-Teams. Sie nutzen es, um gegnerische Taktiken zu verstehen, Testszenarien vorzubereiten und die Abwehr zu stärken.

Beispielsweise kann ein Pentester ein CAPEC verwenden, um einen simulierten Angriff nach einem realistischen Szenario zu strukturieren. Ein Entwickler kann dort Hinweise auf Designfehler finden, die vermieden werden sollten. Ein CISO kann sie in Risikoanalysen integrieren, um die potenziellen Folgen einer technischen Schwäche besser zu veranschaulichen.

Die Ausnutzung einer Zero-Day-Schwachstelle beruht auf der Entwicklung eines spezifischen Exploits, d. h. eines Codes oder einer Methode, die die Schwachstelle ausnutzen kann, bevor sie behoben wird. Der Angreifer kann ihn in ein manipuliertes Dokument, eine Website, eine Malware oder eine Phishing-E-Mail integrieren.

Sobald der Exploit gestartet wurde, kann er die Kontrolle über das System ermöglichen, ein Trojanisches Pferd installieren, eine Hintertür öffnen oder Daten extrahieren. Das Besondere an einem Zero-Day-Exploit ist, dass er sich den klassischen Erkennungsmechanismen entzieht, da er auf einer Schwachstelle beruht, die noch niemand kennt.

CWEs sind abstrakte Muster von Schwachstellen, während CVEs konkrete Vorfälle sind. Eine CVE repräsentiert eine identifizierte Schwachstelle in einer bestimmten Software oder einem bestimmten System, während eine CWE eine generische Schwäche im Code oder der Architektur beschreibt, ohne notwendigerweise ausgenutzt zu werden.

Nehmen wir ein Beispiel: Eine CVE könnte sich auf eine SQL-Injection in einer Webanwendung beziehen, während die entsprechende CWE CWE-89 wäre: Improper Neutralization of Special Elements used in an SQL Command. Zusammenfassend lässt sich sagen, dass CWEs zur Kategorisierung und Analyse von Schwachstellen dienen, während CVEs es ermöglichen, diese individuell zu verfolgen und zu beheben.

Die CWE-Klassifizierung dient dazu, das Verständnis von Sicherheitslücken in IT-Systemen zu standardisieren. Sie hilft Entwicklern, Testern und Analysten, häufige Design- oder Programmierfehler zu identifizieren, um sie zu vermeiden oder effizienter zu beheben. Dank dieser Taxonomie können Sicherheitstools konsistente und verwertbare Berichte erstellen.

Sie ist auch sehr nützlich für die Schulung von technischen Teams, die Bewertung von Erkennungswerkzeugen, die Priorisierung von Risiken und die Einhaltung bestimmter Normen wie ISO/IEC 27001. Durch die Integration von CWE in die Entwicklungsprozesse kann die Sicherheit bereits in der Entwurfsphase deutlich verbessert werden.