CVE-Kontroverse schafft Gelegenheit zur Verbesserung

Nach der Entscheidung der Trump-Regierung in letzter Minute, diese Bemühungen auch in den nächsten elf Monaten zu finanzieren, ist derzeit eine intensive Debatte darüber im Gange, wie die Verfolgung allgemeiner Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) am besten verwaltet werden kann.

Heute erhalten die CVEs im Rahmen eines von der MITRE Corporation verwalteten, staatlich finanzierten Programms jeweils einen eindeutigen Namen. Jede neue Schwachstelle, die entdeckt wird, kann einer CVE Numbering Authority (CNA) gemeldet werden, die bei der Verwaltung des Programms hilft. Diese Daten werden dann in großem Umfang an Cybersecurity-Anbieter weitergegeben, die diese Informationen nutzen, um Kunden zu warnen und, falls verfügbar, bei der Beseitigung der Ursache des Problems zu helfen.

Es gibt jedoch auch andere Ansätze zur Verfolgung von CVEs. Zum Beispiel wurde jetzt eine gemeinnützige CVE Foundation gegründet, die sich für einen alternativen Ansatz zur Verwaltung dieses Prozesses einsetzt. Zu den Vorstandsmitgliedern der CVE Foundation gehören bisher Cybersecurity-Experten aus einer Vielzahl von Technologieunternehmen sowie der Cybersecurity Infrastructure and Security Agency (CISA) und dem National Institute of Standards and Technology (NIST).

Es ist nicht klar, inwieweit die US-Regierung diese Initiative unterstützen wird, aber andere Regierungen auf der ganzen Welt waren eindeutig besorgt darüber, wie der CVE-Prozess verwaltet wird. Zum Beispiel hat die Europäische Union (EU) letztes Jahr die Agentur der Europäischen Union für Cybersecurity (ENISA) eingerichtet, um die Schwachstellendatenbank der Europäischen Union (EUVD) zu verwalten. Ähnlich wie die von den USA eingerichtete National Vulnerability Database (NVD) organisiert EUVD Probleme anhand ihrer vom CVE zugewiesenen eindeutigen ID, dokumentiert ihre Auswirkungen und enthält Links zu Hinweisen und Patches.

Potenzial für eine Änderung der Herangehensweise an CVEs

Es kann noch eine Weile dauern, bis ein Konsens darüber erzielt wird, wie die Meldung von CVEs am besten verwaltet werden sollte, aber letztendlich gibt es möglicherweise Raum für Verbesserungen. Viele Cybersecurity-Forscher haben jetzt einen Anreiz, potenzielle Schwachstellen zu entdecken, die vielleicht nicht besonders kritisch sind. In einer Zeit, in der Cybersecurity-Forscher miteinander konkurrieren, um die nächste große Bedrohung zu entdecken, ist es nicht ungewöhnlich, dass die mit den CVEs verbundenen Schweregrade heftig umstritten sind.

Die Schweregrade der CVEs sind auch eine Quelle des Streits zwischen Cybersecurity-Teams und Anwendungsentwicklungsteams. Viele Anwendungsentwickler ärgern sich darüber, dass sie bei der Suche nach Schwachstellen feststellen müssen, dass diese nur in seltenen Fällen zugänglich sind. Die meisten Entwickler können nur eine begrenzte Zeit pro Monat darauf verwenden, Fixes für bestehende Anwendungen zu erstellen. Wenn diese Bemühungen also vergeudet sind, neigen sie dazu, Warnmeldungen noch weniger Aufmerksamkeit zu schenken.

Dank der Fortschritte im Bereich der künstlichen Intelligenz wird es bald einfacher sein, Schwachstellen nicht nur zu entdecken, sondern auch zu beheben, indem Codeschnipsel aufgedeckt werden, die einfach angewendet werden können, ohne eine Anwendung zu zerstören.

In der Zwischenzeit sollten die Cybersecurity-Teams jedoch genauer darauf achten, wie der CVE-Prozess gehandhabt wird. Die Identifizierung von Bedrohungen auf der Grundlage von Schweregradbewertungen, die mit der Nachverfolgung von CVEs verbunden sind, ist nicht ausreichend. Eine Analyse von 110 Millionen Sicherheitswarnungen, die von OX Security durchgeführt wurde, ergab zum Beispiel, dass nur 2 bis 5 % sofortige Maßnahmen erfordern und mehr als 95 % als informativ angesehen werden. Das bedeutet nicht, dass Alarme ignoriert werden sollten, aber es macht deutlich, dass sie sorgfältig geprüft werden müssen, bevor Cybersecurity-Teams den sprichwörtlichen Feueralarm auslösen.