FAQ

Nein, EPSS ersetzt CVSS nicht: Die beiden Systeme sind komplementär. CVSS bietet eine strukturelle Messung des Schweregrads, die nützlich ist, um die potenziellen Auswirkungen einer Schwachstelle zu verstehen. EPSS hingegen bietet eine Verhaltens- und Vorhersagemessung, die sich auf die Wahrscheinlichkeit einer tatsächlichen Ausnutzung konzentriert.

Zusammen ermöglichen diese beiden Scores eine genauere Risikobewertung, sowohl theoretisch als auch operativ. Viele Unternehmen verfolgen einen hybriden Ansatz, indem sie beispielsweise nur Schwachstellen mit einem CVSS ≥ 7 und einem EPSS ≥ 0,5 behandeln oder Risikomatrizen verwenden, die mit diesen beiden Indikatoren angereichert sind.

Ja, es gibt einen offiziellen CVSS-Score-Rechner, der vom FIRST Standards Forum angeboten wird, das den CVSS-Standard pflegt. Er ist online unter folgender Adresse zugänglich: https://www.first.org/cvss/calculator.

Dieser Rechner ermöglicht es, einen Vektor durch Auswahl der relevanten Metriken zusammenzustellen und dann automatisch die Scores (Base, Temporal, Environmental) zu berechnen.

Ja, ein CVSS-Score kann sich im Laufe der Zeit ändern, insbesondere wenn neue Informationen auftauchen. Beispielsweise können ein öffentlicher Exploit, eine Umgehung eines Patches oder ein Nachweis einer aktiven Ausnutzung Analysten dazu veranlassen, den zeitlichen Score oder sogar den Basisvektor zu überarbeiten, wenn ein anfänglicher Bewertungsfehler festgestellt wird.

Darüber hinaus aktualisieren automatisierte Tools wie die des NVD die CVSS-Scores regelmäßig anhand von Felddaten und Veröffentlichungen. Es wird Unternehmen daher empfohlen, ihre Analysen regelmäßig zu überprüfen, insbesondere bei kritischen Schwachstellen.

Der CVSS-Score misst die intrinsische Schwere einer Schwachstelle, aber nicht ihre tatsächliche Ausnutzung oder ihre Relevanz in einer bestimmten Umgebung. Beispielsweise kann eine Schwachstelle einen hohen Score aufweisen, aber in Ihrer Infrastruktur kaum ausnutzbar sein, oder umgekehrt kann eine durchschnittliche Schwachstelle ein kritisches, nicht segmentiertes System angreifen.

Für eine genauere Risikobewertung ist es wichtig, zusätzliche Indikatoren zu integrieren, wie z. B.:

• Der EPSS-Score (Wahrscheinlichkeit der tatsächlichen Ausnutzung)
• Die Zugehörigkeit zur KEV-Liste (bestätigte Ausnutzung)
• Der geschäftliche oder technische Kontext der betroffenen Umgebung

Somit sollte der CVSS als ein Indikator für die Schwere betrachtet werden, und nicht als eine vollständige Messung des Risikos.

EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.

Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.

CVSS ist in drei Sub-Scores unterteilt:

• Basis-Score: bewertet die intrinsische Schwere der Schwachstelle, unabhängig von jeglichem Kontext. Er ist in der Regel öffentlich.
• Temporal-Score: passt die Bewertung basierend auf Faktoren wie der Verfügbarkeit eines Exploits oder eines Patches an. Er spiegelt die Reife der Bedrohung wider.
• Umgebungs-Score: ermöglicht es Organisationen, die Bewertung an ihren eigenen Kontext anzupassen (Bedeutung des Assets, Exposition, geschäftliche Auswirkungen). Er ist auf jedes Unternehmen zugeschnitten.

Durch die Kombination dieser drei Ebenen wird das CVSS-Modell zu einem flexibleren Werkzeug, mit dem die Behandlungs-Prioritäten entsprechend der Realität vor Ort verfeinert werden können.

Der CVSS-Score (Common Vulnerability Scoring System) misst den Schweregrad einer Schwachstelle, indem er ihr eine Punktzahl von 0 bis 10 zuweist, wobei 10 eine extrem kritische Schwachstelle darstellt. Er wurde entwickelt, um eine standardisierte und objektive Bewertung von Schwachstellen zu ermöglichen, damit Organisationen diese miteinander vergleichen und ihre Behebung priorisieren können.

Dieser Score berücksichtigt verschiedene Aspekte: die einfache Ausnutzbarkeit, die potenziellen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie die für den Angriff erforderlichen Bedingungen. Zusammenfassend lässt sich sagen, dass der CVSS hilft, das inhärente Gefahrenpotenzial einer Sicherheitslücke zu quantifizieren.

Die CVSS-Skala reicht von 0.0 bis 10.0, wobei jeder Wertebereich einem Schweregrad zugeordnet ist:

• 0.0: Keine Gefährdung
• 0.1 bis 3.9: Gering (Low)
• 4.0 bis 6.9: Mittel (Medium)
• 7.0 bis 8.9: Hoch (High)
• 9.0 bis 10.0: Kritisch (Critical)

Diese Klassifizierung ermöglicht es Unternehmen, Schwachstellen nach Schweregrad zu filtern, berücksichtigt jedoch nicht den spezifischen Kontext jedes Unternehmens. Aus diesem Grund müssen andere Kriterien wie aktive Ausnutzung oder betroffene Assets diese Bewertung ergänzen.

Der CVSS-Score wird in der Regel von der Organisation festgelegt, die die Schwachstelle veröffentlicht, häufig eine CNA (CVE Numbering Authority) oder der Hersteller der betroffenen Software. Ergänzend dazu berechnen oder passen Einrichtungen wie die NVD (National Vulnerability Database) die Scores manchmal neu an, um eine Kohärenz zwischen den veröffentlichten CVEs zu gewährleisten.

Automatisierte Tools ermöglichen es auch unabhängigen Forschern, SOC-Analysten oder Sicherheitsanbietern, einen Score auf der Grundlage des veröffentlichten CVSS-Vektors neu zu berechnen. Dies bedeutet, dass eine einzelne CVE je nach Kontext und Bewerter mehrere leicht unterschiedliche Scores haben kann, was dazu führt, dass für kritische Entscheidungen verschiedene Quellen miteinander verglichen werden müssen.

EPSS ergänzt das CVSS, indem es der Bewertung von Schwachstellen eine zeitliche und verhaltensbezogene Dimension hinzufügt. Das CVSS misst die Schwere einer Schwachstelle auf der Grundlage ihrer intrinsischen Eigenschaften (Auswirkungen, Komplexität, Zugänglichkeit), sagt aber nichts über die tatsächliche Wahrscheinlichkeit ihrer Ausnutzung aus. EPSS schließt diese Lücke, indem es Daten aus dem Feld analysiert, wie z. B. Exploitationstrends, die in Honeypots, Suchmaschinen für Schwachstellen oder Bedrohungsfeeds beobachtet werden.

Diese Komplementarität ist für das Risikomanagement von unschätzbarem Wert: Eine Schwachstelle kann laut CVSS kritisch sein, wird aber nicht ausgenutzt (niedriger EPSS-Score), oder sie erscheint theoretisch harmlos, wird aber in automatisierten Angriffen häufig verwendet. Die gemeinsame Verwendung beider Scores ermöglicht es, relevantere Prioritäten festzulegen, die der Realität vor Ort entsprechen.