Schwachstellen im Zeitverlauf – von CVE zum Enterprise Feed
Schwachstellen können unterschiedlicher Natur sein, haben aber Gemeinsamkeiten innerhalb der Zeitspanne von ihrer Entdeckung bis zur Dokumentation und Lösung. Die Entwicklung und Verfeinerung von Schwachstellentests ist ein wesentlicher Bestandteil dieses Zeitrahmens und eine Schlüsselaktivität von Greenbone.
Nachfolgend finden Sie den Zeitverlauf für die meisten bekannten Sicherheitslücken – von ihrer Entdeckung bis zur Bereitstellung von Schwachstellenstests, um sie zu beheben.
| Status der Anfälligkeit |
Was bedeutet das und was passiert? |
Die Rolle von Greenbone |
| Anfälligkeit besteht | Irgendwann dringt ein Sicherheitsproblem in ein Softwareprodukt ein, und niemand ist sich dessen bewusst. | Greenbone empfiehlt die Verwendung von Werkzeugen und Prozessen für die Softwareentwicklung, die zumindest Standardprogrammierfehler verhindern. Auch bei der Integration von Softwaremodulen von Drittanbietern empfehlen wir ein sicherheitsorientiertes Vorgehen. Das tun wir auch für unsere eigenen Produkte. |
| Bekannte Schwachstelle | Jemand findet die Schwachstelle in dem Produkt. Sie könnte schon seit Jahren vor der Entdeckung bestehen. Der Finder hält die Entdeckung entweder geheim und versucht, das Wissen zum eigenen Vorteil auszunutzen (oft ein kriminelles Geschäftsmodell), oder er teilt die Entdeckung mit dem Anbieter (oder den Sicherheitsbehörden), damit sie in die CVE-Dokumentationsprozesse aufgenommen wird. Im ersten Fall kann die Schwachstelle bereits zu kriminellen oder Spionagezwecken ausgenutzt werden. Zu einem bestimmten Zeitpunkt entdeckt eine weitere Person oder Einrichtung die Schwachstelle und gibt diese Informationen wie im zweiten Fall preis. Die Zeitspanne von der Entdeckung der Schwachstelle bis zum Bekanntwerden kann im optimalen Fall kurz, im schlechteren Fall aber sehr lang sein. | Obwohl es nicht zum Geschäftsmodell von Greenbone gehört, aktiv nach unbekannten Software-Schwachstellen zu suchen, können unsere Sicherheitsexperten diese gelegentlich entdecken. Wir informieren immer den Verkäufer oder die entsprechenden Sicherheitsbehörden mit allen gefundenen Informationen zur weiteren Bearbeitung. |
| CVE Reserviert | Die CVE-Behörde vergibt eine reservierte CVE-Nummer an den Meldenden der Schwachstelle. Auf diese Weise können ein Hinweis und eine Softwarebehebung mit einer korrekt zugewiesenen CVE-Referenz vorbereitet werden. Reservierte CVEs werden manchmal in öffentlichen Foren diskutiert, um das Bewusstsein für die Sicherheitslücke zu schärfen, bevor eine Lösung verfügbar ist. Dies kann sowohl Vorteile als auch Nachteile mit sich bringen, da die Sicherheitsgemeinschaft dazu beiträgt, Erkennungsroutinen zur Identifizierung des Risikos zu entwickeln, während böswillige Akteure möglicherweise Code zur Ausnutzung der Schwachstelle entwickeln. Da es viele böswillige Akteure gibt, werden Details über Sicherheitslücken möglicherweise nur in einem begrenzten Kreis und nicht an die breite Öffentlichkeit weitergegeben. | Greenbone überwacht verschiedene Orte, an denen solche Diskussionen stattfinden. Wir sind die Guten und beginnen an diesem Punkt mit der Durchführung von Tests für unsere Kunden, die das Vorhandensein der Schwachstelle identifizieren können. Selbst wenn es noch keine Lösung gibt, hilft dies den Kunden bei der Isolierung oder anderen Abhilfemaßnahmen, bis der Anbieter eine praktikable Lösung präsentieren kann. Die bevorzugte und primäre Erkennungsroutine, die Greenbone implementiert, ist ein unauthentifizierter Ferntest. Die Qualität der Erkennung hängt von öffentlich zugänglichen Informationen ab (d. h. davon, wie viele Informationen über Vektoren zur Ausnutzung von Sicherheitslücken offengelegt werden). Diese Informationen stammen häufig vom Hersteller selbst oder aus der Sicherheitsgemeinschaft. Die Qualität der Erkennung bei den ersten Tests ist unterschiedlich, da sie davon abhängt, was der Anbieter preisgibt. Im besten Fall kann ein nicht-destruktiver Exploit implementiert werden. Dieser kann anschließend durch authentifizierte Tests ergänzt werden, was die Genauigkeit erhöht. |
| CVE veröffentlicht | Der CVE-Eintrag erhält einen offiziellen Zeitstempel der Veröffentlichung, eine Einstufung des Schweregrads und weiterführende Links (idealerweise zu abschwächenden Lösungen). CVEs können mehrmals aktualisiert werden, wenn sie neu veröffentlicht werden, um die neuesten Forschungsinformationen über die Schwachstelle aufzunehmen. | Greenbone aktualisiert die Sicherheitsinformationen, sobald neue Informationen zu den CVEs eintreffen. Dieser Prozess wird durch verschiedene Automatisierungsstufen für schnelle Produktaktualisierungen für Kunden verbessert. |
| Produktanbieter-Beratung | Der Hersteller des anfälligen Produkts veröffentlicht Informationen über die Schwachstelle und eine Lösung zur Abhilfe. Dies beinhaltet oft eine aktualisierte Version oder Konfigurationsänderungen. In einigen Fällen ist es möglich, dass die Hersteller überhaupt nicht reagieren oder keine Lösung für eine Sicherheitslücke anbieten. | Greenbone aktualisiert die Sicherheitsdetails von Schwachstellen, sobald neue Informationen von den Anbietern eintreffen. Anbieter mit einem formalen Verfahren ermöglichen uns eine sehr schnelle Bearbeitung. |
| Produkt-Integrations-Anbieter-Hinweise | In einigen Fällen bündeln andere Anbieter das verwundbare Produkt mit ihrem eigenen, wie z. B. bei Schwachstellen in der Lieferkette. Dabei kann es sich um Anbieter von Betriebssystemen wie Red Hat oder um kleinere Anbieter von Vertriebssoftware handeln, die eine anfällige Softwarebibliothek für ihr Produkt verwenden, wie z. B. log4j. Diese Anbieter veröffentlichen ihre eigenen Hinweise, die entweder zeitnah oder erst mehrere Wochen später erscheinen. Der Unterschied in der Reaktionszeit zwischen den Anbietern für dieselbe Sicherheitslücke kann beobachtet und berücksichtigt werden. | Greenbone veröffentlicht für jeden Anbieter mindestens einen Test. Diese Tests sind in erster Linie automatisiert, um die Freigabezeit für die Kunden zu verkürzen. Bei den meisten dieser Tests handelt es sich um authentifizierte Tests mit einer sehr hohen Qualität der Erkennung. |
FAQ
Wie ist es möglich, dass ein Greenbone-Test Monate vor dem jeweiligen CVE veröffentlicht wird?
Greenbone wartet nicht auf eine offizielle CVE-Veröffentlichung. Wir beginnen mit der Arbeit an Schwachstellentests, sobald wir von einer Schwachstelle erfahren.
Dies kann in Tagen gemessen werden, aber wir haben auch schon Verzögerungen von Monaten bis zur offiziellen CVE-Veröffentlichung erlebt. Oft können wir eine reservierte, aber unveröffentlichte CVE verlinken, aber es gibt auch Fälle, in denen nicht einmal eine CVE existiert, sondern reserviert ist und der Test in unserem Feed ist. Wir pflegen unsere Tests so, dass sie in unseren Tests verlinkt werden, sobald ein CVE existiert.
Beispiel: CVE-2022-1232 (Google Chrome) wurde erstmalig April 2022 diskutiert, die offizielle Veröffentlichung als CVE verzögerte sich jedoch bis Juli 2022. Die ersten Greenbone Tests standen bereits im April 2022 zur Verfügung, weitere folgten im Mai 2022.
Warum gibt es so viele Greenbone-Tests für dieselbe Schwachstelle?
Es gibt zwei Hauptgründe, warum wir mehrere Tests für dieselbe Schwachstelle haben:
- Ein Test kann sowohl von außen als auch von innen durchgeführt werden.
Die Tests von außen (auch Remote-Tests genannt) sind einfach auszuführen, da der Scanner nur einen Netzwerkzugang zum gescannten System benötigt. Einige haben eine hohe Erkennungsqualität, da die Schwachstelle oder der getestete Dienst sehr konkrete Eigenschaften aufweist. Einige Tests beschränken sich auf weniger zuverlässige Komponenten eines Dienstes und liefern nur Hinweise, aber keinen endgültigen Beweis. Tests von innen heraus haben in der Regel eine höhere Erkennungsqualität, da sie auf die Softwareinstallation an der Basis zugreifen können und nicht auf externe Indikatoren angewiesen sind. Diese Arten von Scans erfordern eine Authentifizierung für das Zielsystem. - Ein anfälliges Produkt ist Teil mehrerer anderer Produkte oder Betriebssysteme.
Denken Sie an Software-Bibliotheken oder Produkte, die standardmäßig Bestandteil von Betriebssystemen sind. In diesem Fall geben die Hersteller ihre eigenen Sicherheitshinweise heraus, die Informationen über die Lösung enthalten. Greenbone führt für jeden dieser Hersteller Tests durch.
Beispiel: CVE-2021-44228 (Log4j): Greenbone Enterprise Feed bietet über 125 Tests.
Warum werden die Greenbone-Tests für Debian/Red Hat/etc. später veröffentlicht als die CVE?
Jeder Betriebssystemhersteller hat sein eigenes Schema für die Vorbereitung von Aktualisierungen von Drittanbieter-Tools. Die Patches müssen einen Qualitätsbewertungsprozess durchlaufen, während die betroffenen Abhängigkeiten und Module vor der endgültigen Freigabe der Aktualisierung weitere Tests erfordern.
Die Hersteller veröffentlichen eine Mitteilung, wenn eine getestete Lösung zur Verteilung bereit ist.
Greenbone verwendet einen größtenteils automatisierten Prozess, um die Herstellerhinweise abzurufen, sobald sie veröffentlicht werden, um einen Test für unseren Feed zu erstellen. Wir haben schon Verzögerungen von Tagen bis Wochen bei mehreren Hinweisen für dieselbe Sicherheitslücke erlebt.
Wie schnell wird Greenbone einen Test für eine neue Sicherheitslücke zur Verfügung stellen?
Unser Herzblut und unsere ganze Motivation sind darauf ausgerichtet, Schwachstellentests für priorisierte Hinweise innerhalb von 24 Stunden nach Veröffentlichung bereitzustellen.
In vielen Fällen erreichen wir dieses Ziel. In manchen Fällen ist mehr Zeit erforderlich. Wir haben für Sie einige Erkenntnisse über unsere tägliche Herausforderung für Ihre Sicherheit gesammelt:
- Testen des Tests: Nachdem ein neuer Test entwickelt wurde, wird er getestet, um eine Warnung zu senden, falls die Schwachstelle vorhanden ist, und um die Schwachstelle zu ignorieren, falls sie nicht vorhanden oder bereits behoben ist. Der größte Teil der Testzeit entfällt auf die Konfiguration der anfälligen Testsysteme oder -dienste. Wir verfügen über ein wachsendes Testlabor mit leicht verfügbaren Systemen zur Unterstützung dieses Prozesses.
- Forschung: Die Meldenden einer Schwachstelle leisten oft gute Arbeit, und wir können unmittelbar danach einen Test durchführen. Gelegentlich haben wir tiefgreifende Fragen für eine optimale Trefferquote unserer Tests und müssen die Details oder das Verhalten eines Produkts recherchieren. In Fällen, in denen der Hersteller nur unzureichende Informationen zur Verfügung stellt, nimmt dies viel Zeit in Anspruch.
- Automatisierung: Vollständige und teilweise Automatisierung hilft immens bei der Beschleunigung der Entwicklung. Wir beschäftigen die menschlichen Gehirne mit neuen Herausforderungen, während unsere beratenden Verarbeitungspipelines die bekannten Standardherausforderungen und sich wiederholenden Arbeitsschritte erledigen.
Priorisierungsschema Schwachstellenmanagement
Wie viele der veröffentlichten Schwachstellen werden von Greenbone abgedeckt?
Wir implementieren Tests mit dem Ziel, alle Schwachstellen abzudecken, die für unsere Kunden schwerwiegend oder wichtig sind. Um dieses Ziel zu erreichen, wenden wir das folgende Priorisierungsschema an:
- Schweregrad der Sicherheitslücke: Natürlich ist der offizielle Schweregrad im „CVSS“ (Common Vulnerability Scoring System) ein wichtiges Kriterium. Schwere und aktiv ausgenutzte Sicherheitslücken erhalten die höchste Priorität.
- Verbreitung des Produkts: Eine Sicherheitslücke mittleren Schweregrades in einem weit verbreiteten Produkt wie Microsoft Windows hat für uns eine höhere Priorität als beispielsweise eine kritische Sicherheitslücke in einem Browserspiel.
- Durchführbarkeit der Automatisierung: Einige Produktanbieter haben einen formalen und äußerst zuverlässigen Prozess für Sicherheitsmeldungen eingerichtet. In solchen Fällen werden unsere automatisierten Routinen alle Hinweise unabhängig vom Schweregrad verarbeiten.
