Anstatt zählen: Wie sich Software-Schwachstellen besser messen lassen


Die Universität von Maryland hat neue Metriken entwickelt, die System- und Netzwerkadministratoren ein besseres Risikomanagement ihrer Umgebung ermöglichen sollen. Dank der besseren Bewertung sollen Admins Patches besser priorisieren und die Gefahren von Online-Angriffen besser einzuschätzen können.

Wirksame Sicherheitsmetriken waren bislang ein scheinbar unerreichbares Ziel, besonders wenn es um die Sicherheit von Software ging. Oft haben sich die Organisationen einfach auf das Zählen von Verwundbarkeiten in einem Betriebssystem oder einem Programm verlassen, um so die Sicherheit zu messen. Aber zu oft vermitteln diese Variablen einen falschen Eindruck.

Zu dem Thema “Messen von Verwundbarkeiten” wurde die Studie “Einige Schwachstellen sind anders als andere: Untersuchung von Schwachstellen und Angriffsflächen in der Praxis” auf einem IT-Security-Symposium in Schweden vorgestellt. Die Autoren der Studie hoffen damit ein neues Messverfahren zu etablieren, das auf den Daten von Schwachstellen und Daten von Exploits basiert, die weltweit gesammelt werden.

Sie widerlegen in ihrer Studie die Behauptung, dass das Zählen von Schwachstellen die beste Messmethode ist, denn die meisten Lücken würden nie missbraucht. Die Angriffsfläche, die eine Software bietet, ist ebenfalls problematisch zu messen: Nutzer vergrößern diese oft, indem sie zum Beispiel einem Betriebssystem Programme hinzufügen und die Konfiguration verändern.

“Die Wirkung, die solche Faktoren haben, können nicht von den vorhandenen Sicherheits-Metriken abgebildet werden”, schreiben die Autoren in ihrer Studie. Sie schlagen stattdessen mehrere neue Messmethoden vor, die genau messen, ob aufgedeckte Schwachstellen ausgenutzt werden und wie oft dies passiert.

Dazu wird zum Beispiel die Anzahl der ausgenutzten Schwachstellen gemessen, zusammengestellt aus einer Reihe vertrauenswürdiger Quellen, inklusive The National Vulnerability Database, Vendor IPS und Antivirus-Signatur-Datenbanken.

Ebenfalls gemessen wird das Verhältnis zwischen gefundenen Schwachstellen und deren Missbrauch innerhalb eines bestimmten Zeitraumes, das die Wahrscheinlichkeit ausdrückt, dass eine Schwachstelle ausgenutzt wird. Das von den Forschern beschriebene “Angriffsvolumen” drückt aus, wie häufig ein Programm innerhalb eines bestimmten Zeitraumes angegriffen wird.

Dazu kommt noch die “bestätigte Angriffsfläche”. Sie steht für die Größe der Schwachstellen, die über einen bestimmten Zeitraum angegriffen werden. Diese zeigt im Wesentlichen auch die Anzahl der Verwundbarkeiten, die ausgenutzt werden.

Die Autoren der Studie verwendeten eine ganze Reihe von Datenquellen, darunter die “National Vulnerability Database” sowie Antivirus-Signatur-Daten von mehr als 6,3 Millionen Hosts. Sie untersuchten auch jede Version von Windows, von XP bis Windows 7, ebenso wie die letzten Versionen von Adobe Reader, Microsoft Office und Internet Explorer. Sie entdeckte dabei, dass weniger als 35 Prozent aller entdeckten Schwachstellen in diesen Software-Produkten ausgenutzt werden. Eine Kombination aller dieser Produkte verringert diese Quote auf 15 Prozent und die Quote nimmt mit neueren Versionen ab. So zeigte sich auch, dass Sicherheitsfunktionen wie ASLR und DEP Windows 7 deutlich sicherer machten, als dies bei den Vorgängerversionen der Fall war.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates. 

 

Comments (0)

Skip to main content