DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Beliebte Schwachstellendatenbanken. Der Weg vom Sammeln zur Arbeit

Beliebte Schwachstellendatenbanken. Der Weg vom Sammeln zur Arbeit

Wann immer wir über Schwachstellen sprechen, hören wir von verschiedenen Datenbanken, in denen wir sie finden können. Es gibt viele verschiedene Schwachstellendatenbanken, aber was war die erste? Und wie gelangen Schwachstellen in diese Datenbanken? In diesem Artikel werden wir versuchen, mehr darüber zu erfahren.

Was ist eine Schwachstellendatenbank?

Eine Schwachstellendatenbank ist ein Werkzeug, das Zugriff auf Informationen über bekannte Schwachstellen ermöglicht. Experten sammeln, überprüfen und teilen Informationen mit einer großen Gemeinschaft, um das Wissen über Cybersicherheit zu verbessern. Schwachstellendatenbanken helfen Organisationen dabei, Schwachstellen in ihren Systemen zu verfolgen und zu beheben. Schwachstellen-Scanner basieren auf Schwachstellendatenbanken. Ein Schwachstellen-Scanner ist ein automatisiertes Testwerkzeug, das Schwachstellen und Fehler im System sucht. Scanner sind vollständig automatisiert und suchen nur nach Schwachstellen und melden potenzielle Gefährdungen. Danach erfolgt ein Penetrationstest. Sie sollten diese beiden Werkzeuge unterscheiden, da sie zwar miteinander verbunden sind, aber nicht dasselbe sind.

Datenbanken decken eine Vielzahl von Schwachstellen ab. Sie unterscheiden sich je nach Zweck voneinander. Schwachstellen umfassen:

  • Hardware – schlechte Verschlüsselung, Bauteilabbau und Firmware-Schwachstellen.
  • Software – Benutzeroberflächenprobleme, Timing-Fehler, Berechtigungsverwechslungsfehler, Speicherzuweisungsfehler und Designfehler.
  • Netzwerk – unsichere Architekturen, unzureichende Authentifizierung und unkontrollierter Zugriff.

Wie funktioniert eine Schwachstellendatenbank?

Der erste Schritt beim Sammeln von Schwachstellen besteht darin, sie zu melden. Berichte können aus verschiedenen Quellen von Entwicklern bis hin zu Benutzern kommen. Für jede gemeldete Schwachstelle gibt es eine Wartezeit. Diese dauert 30 bis 90 Tage, bevor die Informationen öffentlich werden. Diese Wartezeit wird benötigt, damit Entwickler Patches erstellen und veröffentlichen können. Außerdem können in dieser Zeit Kunden diese Patches einrichten, um sich selbst zu schützen, sogar bevor die öffentliche Benachrichtigung erfolgt. Es hängt von den Benachrichtigungsrichtlinien und Produkten ab. Nachdem der Patch herausgegeben wurde, wird die Schwachstelle mit ihren Einzelheiten für die gesamte Gemeinschaft öffentlich gemacht.

Wie werden Schwachstellen bewertet?

Eine der bekanntesten Listen für Schwachstellen ist CVE von MITRE, einer Nonprofit-Organisation, die von der Regierung gesponsert wird. Das System wurde im September 1999 gegründet. Diese Organisation hat eine Klassifikation für Schwachstellen erstellt. Dieses System ist CVSS – das Common Vulnerability Scoring System. Sobald eine Schwachstelle entdeckt wird, wird sie in CVE aufgelistet, jedoch ohne deren Einzelheiten. Nach der Wartezeit werden die Einzelheiten in CVE aktualisiert.

CVE-Bezeichner

Bezeichner wurden erstellt, um die Nutzung und das Verständnis von Schwachstellen für Menschen weltweit zu vereinfachen. Da jedes System eigene Datenbanken und Bezeichner hatte, war es zu schwierig, eine und dieselbe Schwachstelle zu identifizieren. Seitdem hat jede Schwachstelle ihre ID, Referenz und Beschreibung:

  • CVE ID hat das Jahr, in dem eine Schwachstelle erforscht wurde, und die Nummer.
  • Referenz enthält Links zu Patches, Dokumente mit Empfehlungen und Kommentare von Entwicklern.
  • Beschreibung enthält die Definition der Schwachstelle.

Beliebte Schwachstellendatenbanken

  • NVD (National Vulnerability Database)

    Die NVD wurde 2005 von der US-Regierung gegründet. Sie ist die Hauptdatenbank, wenn wir über Open-Source-Schwachstellendatenbanken sprechen. Die NVD veröffentlicht keine Schwachstellen, sondern analysiert CVEs aus der MITRE-Liste. Diese Analyse besteht aus CVSS-Bewertung, Links zu verfügbaren Patches, Informationen darüber, wie die Schwachstelle funktioniert, und deren Auswirkungen. All diese Punkte helfen Ihnen zu verstehen und zu priorisieren, welche Schwachstellen Sie beheben müssen.

  • OSVDB (Open Source Vulnerability Database)

    Die OSVDB wurde 2004 von Jake Kouns gegründet, dem Gründer von Risk Based Security – dem Unternehmen, das eine kommerzielle Version der OSVDB betreibt – VulnDB. Das Ziel von OSVDB war es, detaillierte Informationen über Sicherheitslücken für die nicht-kommerzielle Nutzung bereitzustellen. Einige Unternehmen nutzten diese Datenbank jedoch zu kommerziellen Zwecken, ohne zu zahlen. Danach wurde die OSVDB im April 2016 geschlossen. 2011 startete Risk Based Security eine kommerzielle Version namens VulnDB. Diese Datenbank enthält mehr als 140.000 Einträge. Diese Einträge enthalten Informationen zu betroffenen Anbietern, Art der Schwachstelle, Klassifikation und ID-Informationen. Darüber hinaus verfügen viele Einträge über Bedrohungsintelligenz- und Gegenmaßnahmeinformationen.

Weitere Quellen

Zusammen mit den Schwachstellendatenbanken können Sie auch Sicherheitsbulletins verwenden. Dies ist eine Quelle, die Ihnen hilft, über Sicherheitslücken, Strategien zur Behebung und Software-Updates informiert zu bleiben. Einige IT-Unternehmen haben eigene Sicherheitsbulletins, z. B. IBM, Microsoft usw. Aufgrund der sensiblen Informationen in den Bulletins enthalten sie keine detaillierten Informationen zur Ausnutzung von Schwachstellen. Sicherheitsbulletins informieren Kunden über Schwachstellen. Kunden sind dafür verantwortlich, tatsächlichen oder potenziellen Schaden durch Schwachstellen zu überprüfen.

Darüber hinaus gibt es Agenturen und Dienste, die Informationen über Schwachstellen bereitstellen. Zum Beispiel wurden CIS-Benchmarks durch freiwillige Bemühungen von IT-Experten, Anbietern und CIS-Benchmark-Entwicklern erstellt. In unserer Datenbankschwachstellenbewertung verwenden wir CIS Benchmark-Leitlinien und DISA STIGS, um Sicherheitslücken zu identifizieren und zu mindern und eine sichere Konfiguration zu gewährleisten.

Es gibt viele Schwachstellendatenbanken, die Sie verwenden können, um Ihr System zu schützen. Schwachstellendatenbanken bilden die Grundlage für Schwachstellen-Scanner, dank derer Sie den Prozess der Suche nach Schwachstellen automatisieren können. Denken Sie daran, sich der Schwachstellen in Ihren Systemen bewusst zu sein, um sensible Daten und Ihren Ruf zu schützen.

Nächste

Sicherheitslücken. Warum brauchen wir Schwachstellenmanagement und -bewertung?

Sicherheitslücken. Warum brauchen wir Schwachstellenmanagement und -bewertung?

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]