FAQ

EPSS ergänzt das CVSS, indem es der Bewertung von Schwachstellen eine zeitliche und verhaltensbezogene Dimension hinzufügt. Das CVSS misst die Schwere einer Schwachstelle auf der Grundlage ihrer intrinsischen Eigenschaften (Auswirkungen, Komplexität, Zugänglichkeit), sagt aber nichts über die tatsächliche Wahrscheinlichkeit ihrer Ausnutzung aus. EPSS schließt diese Lücke, indem es Daten aus dem Feld analysiert, wie z. B. Exploitationstrends, die in Honeypots, Suchmaschinen für Schwachstellen oder Bedrohungsfeeds beobachtet werden.

Diese Komplementarität ist für das Risikomanagement von unschätzbarem Wert: Eine Schwachstelle kann laut CVSS kritisch sein, wird aber nicht ausgenutzt (niedriger EPSS-Score), oder sie erscheint theoretisch harmlos, wird aber in automatisierten Angriffen häufig verwendet. Die gemeinsame Verwendung beider Scores ermöglicht es, relevantere Prioritäten festzulegen, die der Realität vor Ort entsprechen.

CAPEC bietet eine detaillierte Struktur zur Nachbildung realistischer Angriffsszenarien, was es zu einer wertvollen Ressource für Simulationen macht. Jedes Muster beschreibt die Voraussetzungen, die Ausführungsschritte, die Ziele, die Angriffsvektoren sowie die potenziellen Ziele des Angreifers. Dies ermöglicht es Sicherheitsteams, gut strukturierte Red-Teaming- oder Threat-Modeling-Übungen zu konzipieren.

Beispielsweise kann ein Tester ein CAPEC-Muster für einen Brute-Force-Angriff auf einen Netzwerkdienst auswählen und es als Grundlage verwenden, um die Robustheit einer Anwendung zu bewerten. Dieser Ansatz macht die Tests konsistenter und erleichtert die Dokumentation der Ergebnisse und Empfehlungen.

Für CISOs und SOC-Teams bietet EPSS eine objektive und dynamische Entscheidungshilfe. Es ermöglicht das Filtern von Schwachstellen, die von Scannern erkannt wurden, basierend auf ihrer Wahrscheinlichkeit der Ausnutzung, was die Arbeitslast der Teams reduziert und die Relevanz der Warnmeldungen verbessert. EPSS ist besonders nützlich in Umgebungen, in denen das Volumen an CVEs hoch und die Ressourcen begrenzt sind.

Durch die Integration von EPSS in Tools für das Schwachstellenmanagement, SIEM oder Sicherheits-Dashboards können CISOs besser mit der Geschäftsleitung kommunizieren, indem sie Maßnahmen auf der Grundlage des tatsächlichen und messbaren Risikos priorisieren, anstatt auf der Grundlage einer einfachen theoretischen Bewertung.

Um festzustellen, ob eine CVE aktiv ausgenutzt wird, können verschiedene Informationsquellen konsultiert werden. Die zuverlässigste ist die KEV-Datenbank (Known Exploited Vulnerabilities), die von der CISA gepflegt wird und CVEs auflistet, deren Ausnutzung in freier Wildbahn bestätigt wurde. Sie wird regelmäßig aktualisiert und häufig verwendet, um Korrekturprioritäten festzulegen. Diese Informationen sind direkt auf unserer Website CVE Find zugänglich.

Man kann sich auch auf den EPSS-Score stützen, der die Wahrscheinlichkeit der Ausnutzung einer CVE innerhalb von 30 Tagen nach ihrer Veröffentlichung auf der Grundlage von realen Daten schätzt. Schließlich können auch Threat-Intelligence-Tools, CERT-Berichte oder Sicherheitsbulletins von Herstellern darauf hinweisen, ob eine Schwachstelle derzeit von Angreifern ausgenutzt wird.

Die Ausnutzung einer Zero-Day-Schwachstelle beruht auf der Entwicklung eines spezifischen Exploits, d. h. eines Codes oder einer Methode, die die Schwachstelle ausnutzen kann, bevor sie behoben wird. Der Angreifer kann ihn in ein manipuliertes Dokument, eine Website, eine Malware oder eine Phishing-E-Mail integrieren.

Sobald der Exploit gestartet wurde, kann er die Kontrolle über das System ermöglichen, ein Trojanisches Pferd installieren, eine Hintertür öffnen oder Daten extrahieren. Das Besondere an einem Zero-Day-Exploit ist, dass er sich den klassischen Erkennungsmechanismen entzieht, da er auf einer Schwachstelle beruht, die noch niemand kennt.

EPSS-Scores werden täglich aktualisiert, was die dynamische Natur von Bedrohungen und der Ausnutzung von Schwachstellen widerspiegelt. Jederzeit kann eine Änderung in der Angriffslandschaft (Veröffentlichung eines Exploits, Diskussion in einem Forum, Erkennung in Honeypots) die Wahrscheinlichkeit verändern, dass eine CVE angegriffen wird.

Diese häufige Aktualisierung macht EPSS zu einem reaktionsschnelleren Werkzeug als CVSS, dessen Scores sich nach der Veröffentlichung selten ändern. Um EPSS voll auszuschöpfen, wird daher empfohlen, automatisierte Feeds oder APIs zu integrieren, um die Scores kontinuierlich zu verfolgen.

CWEs sind in zahlreiche Tools zur Analyse von Quellcode, zur Sicherheitsüberprüfung oder zum Management von Schwachstellen integriert, um potenzielle Schwächen in Software automatisch zu identifizieren. Durch das Verständnis, welche CWEs in einem System vorhanden sind, können Teams die Angriffsfläche abschätzen, zukünftige Bedrohungen antizipieren und Korrekturen priorisieren, bevor eine Schwachstelle zu einer ausnutzbaren CVE wird.

Sie ermöglichen auch die Erstellung von Risikoprofilen für Projekte oder Produkte, basierend auf der Art und Anzahl der identifizierten Schwachstellen. Dies erleichtert die Entscheidungsfindung für CISOs, CIOs oder Compliance-Verantwortliche, insbesondere bei DevSecOps-Ansätzen oder bei Bewertungen nach Rahmenwerken wie NIST oder ISO 27002.

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.

CWEs sind abstrakte Muster von Schwachstellen, während CVEs konkrete Vorfälle sind. Eine CVE repräsentiert eine identifizierte Schwachstelle in einer bestimmten Software oder einem bestimmten System, während eine CWE eine generische Schwäche im Code oder der Architektur beschreibt, ohne notwendigerweise ausgenutzt zu werden.

Nehmen wir ein Beispiel: Eine CVE könnte sich auf eine SQL-Injection in einer Webanwendung beziehen, während die entsprechende CWE CWE-89 wäre: Improper Neutralization of Special Elements used in an SQL Command. Zusammenfassend lässt sich sagen, dass CWEs zur Kategorisierung und Analyse von Schwachstellen dienen, während CVEs es ermöglichen, diese individuell zu verfolgen und zu beheben.

CAPEC-Angriffsmuster dienen dazu, die von Angreifern verwendeten Taktiken und Techniken zu dokumentieren, um Systeme auszunutzen. Durch deren Studium können Sicherheitsanalysten, Entwickler und Architekten die Ziele eines Angriffs, seine typischen Schritte und die ausgenutzten Schwachstellen verstehen. Dies ermöglicht es, Bedrohungen zu antizipieren und wirksamere Gegenmaßnahmen zu entwickeln.

Sie sind auch nützlich für Schulungen, Risikoanalysen, Angriffssimulationen (Red Teaming) oder die Einrichtung defensiver Sicherheitskontrollen. Durch die Verknüpfung von CAPEC mit CWE und CVE kann eine vollständige Kette von der Schwäche bis zur konkreten Ausnutzung erstellt werden, was den Threat-Modeling- oder Security-by-Design-Ansatz bereichert.

Die CWE-Klassifizierung dient dazu, das Verständnis von Sicherheitslücken in IT-Systemen zu standardisieren. Sie hilft Entwicklern, Testern und Analysten, häufige Design- oder Programmierfehler zu identifizieren, um sie zu vermeiden oder effizienter zu beheben. Dank dieser Taxonomie können Sicherheitstools konsistente und verwertbare Berichte erstellen.

Sie ist auch sehr nützlich für die Schulung von technischen Teams, die Bewertung von Erkennungswerkzeugen, die Priorisierung von Risiken und die Einhaltung bestimmter Normen wie ISO/IEC 27001. Durch die Integration von CWE in die Entwicklungsprozesse kann die Sicherheit bereits in der Entwurfsphase deutlich verbessert werden.