Tim Bastin - Softwarearchitekt & Software Sicherheitsspezialist
Tim Bastin
Softwarearchitekt & Software Sicherheitsspezialist
3.6.2024

Effektive Priorisierung von Schwachstellen: Ein Muss für jede DevSecOps-Pipeline

Bonn, 3.6.20241 Minuten Lesezeit
Effektive Priorisierung von Schwachstellen: Ein Muss für jede DevSecOps-Pipeline

Die Verwaltung von Software-Schwachstellen ist entscheidend, um Cyberangriffe und deren potenziellen Schaden zu minimieren. Im Jahr 2023 verursachten Cyberangriffe allein in Deutschland Schäden in Höhe von rund 206 Milliarden Euro, wobei viele dieser Angriffe auf ausgenutzte Software-Schwachstellen zurückzuführen sind.

Steigende Anzahl von Schwachstellen

Die Anzahl der jährlich entdeckten Schwachstellen nimmt stetig zu. Während 2017 monatlich noch unter 1000 neue CVEs bekannt wurden, erhöhte sich diese Zahl im Jahr 2023 auf durchschnittlich 2000 CVEs pro Monat. Ein weiterer besorgniserregender Trend ist der steigende Prozentsatz kritischer Schwachstellen in den letzten Jahren. Nicht nur die Gesamtzahl der entdeckten Schwachstellen nimmt zu, sondern auch deren Schweregrad. Diese Entwicklung stellt Unternehmen vor die Herausforderung, ihre begrenzten Ressourcen effizient einzusetzen. Es muss durchgehend entschieden werden, welche Schwachstelle als nächstes behoben werden sollte. Eine effektive Priorisierung von Schwachstellen ist hierbei unumgänglich - Unternehmen müssen sich auf die kritischsten Bedrohungen konzentrieren und sicherzustellen, dass ihre Sicherheitsmaßnahmen den größten Einfluss haben.

Anzahl der veröffentlichten Schwachstellen pro MonatAnzahl der veröffentlichten Schwachstellen pro Monat
Quelle: L3montree

Der Prozentsatz der kritischen CVEs steigtDer Prozentsatz der kritischen CVEs steigt
Quelle: L3montree

Bedeutung der Priorisierung von Schwachstellen

Ein allgemeiner Ansatz wie „Jede kritische Schwachstellen beheben“ reicht oft nicht aus, um die tatsächlichen Bedrohungen zu identifizieren und zu priorisieren. Ein differenzierter Ansatz, der Schwachstellen basierend auf ihrem realen Risiko bewertet, ist notwendig. Zu einer solchen Risikobewertung sollten folgende Faktoren berücksichtigt werden:

  • CVSS-Scores: Das Common Vulnerability Scoring System (CVSS) bietet eine standardisierte Methode zur Bewertung der Schwere von Schwachstellen.

  • Exploit-Verfügbarkeit (ExploitDB): Datenbanken wie ExploitDB helfen dabei, Schwachstellen mit bekannten Exploits zu identifizieren.

  • Reale Bedrohungsdaten (EPSS): Das Exploit Prediction Scoring System (EPSS) bewertet die Wahrscheinlichkeit, dass eine Schwachstelle ausgenutzt wird.

Einblicke durch das Sankey-Diagramm

Unser Sankey-Diagramm zeigt, wie sich viele Schwachstellen mit hohen CVSS-Scores neu bewerten lassen, betrachtet man alle verfügbaren Informationen, wie die Verfügbarkeit eines Exploits. Ein bedeutender Teil dieser Schwachstellen wird auf EPSS-Scores im Bereich von 0%-10% abgebildet, was auf eine geringere Wahrscheinlichkeit einer Ausnutzung hinweist. Diese visuelle Darstellung unterstreicht die Notwendigkeit eines differenzierten Ansatzes im Schwachstellenmanagement, bei dem nicht alle „kritischen“ CVEs gleich behandelt werden, sondern basierend auf ihrem tatsächlichen Risiko priorisiert werden.

Sankey-Diagramm, das den CVSS-Basis-Score und den angepassten Score nach Anwendung von Bedrohungsdaten und den Sicherheitsanforderungen der Anwendung auf die CVSS-Berechnung zeigt. Die Punktzahlen werden dann auf das entsprechende EPSS (Exploit Prediction Scoring System) abgebildet.Sankey-Diagramm, das den CVSS-Basis-Score und den angepassten Score nach Anwendung von Bedrohungsdaten und den Sicherheitsanforderungen der Anwendung auf die CVSS-Berechnung zeigt. Die Punktzahlen werden dann auf das entsprechende EPSS (Exploit Prediction Scoring System) abgebildet.
Quelle: L3montree

FlawFix: Unterstützung für den gesamten DevSecOps-Workflow

Wir haben eine Schwachstellen-Datenbank entwickelt, die genau diese Priorisierung abbildet. Unsere Datenbank bietet umfassende Einblicke in Schwachstellen. Sie stellt alle erforderlichen Informationen dar und lässt Anwender Schwachstellenscores neu berechnen auf Basis der von uns hergeleiteten Exploit-Verfügbarkeit und den eigenen Schutzbedarfsanforderungen. Zusätzlich wird der zugehörige EPSS-Score zu jeder Schwachstelle angezeigt. Darüber hinaus entwickeln wir das Open-Source OWASP-Inkubationsprojekt FlawFix, um den gesamten DevSecOps-Workflow abzudecken. FlawFix begleitet Entwickler dabei, die DevSecOps-Pipeline optimal umzusetzen, ohne dass umfangreiche IT-Sicherheitskenntnisse erforderlich sind.

Fazit

Die Priorisierung von Schwachstellen ist entscheidend, um die Sicherheit von Software zu gewährleisten und Ressourcen effizient zu nutzen. Mit einem wissenschaftlich fundierten Ansatz können Sie sicherstellen, dass die bedrohlichsten Schwachstellen zuerst angegangen werden.