Thought Leadership
Ein aktueller zweiteiliger Forschungsbericht von Sophos X-Ops beleuchtet nun die Komplexität der Schwachstellen-Priorisierung und zeigt auf, warum gängige Bewertungssysteme allein nicht ausreichen.
CVSS: Traditioneller Standard mit Tücken
Das Common Vulnerability Scoring System (CVSS) gilt seit Jahren als Industriestandard und wird von vielen Organisationen, darunter der Payment Card Industry (PCI), als verbindliche Metrik vorgeschrieben. Die numerische Einstufung von 0 bis 10 erscheint zunächst einleuchtend:
- Kritisch: 9,0 – 10,0
- Hoch: 7,0 – 8,9
- Mittel: 4,0 – 6,9
- Gering: 0,1 – 3,9
- Keine: 0,0
Doch die Realität zeige ein komplexeres Bild: Eine umfangreiche Analyse von Howlands, basierend auf über 28.000 CVEs, deckt überraschende Muster auf. Schwachstellen mit einem CVSS-Score von 7 werden häufiger für Angriffe genutzt als solche mit höheren Bewertungen. Noch erstaunlicher: CVEs mit einem Score von 5 werden öfter ausgenutzt als jene mit einem Wert von 6. Die als „kritisch“ eingestuften Schwachstellen (Score 10) werden sogar seltener ausgenutzt als jene mit niedrigeren Bewertungen von 8 oder 9.
EPSS: Neue Perspektiven, alte Grenzen
Als Alternative entwickelte die Industrie das Exploit Prediction Scoring System (EPSS). Anders als CVSS fokussiert sich EPSS auf die Vorhersage der Ausnutzungswahrscheinlichkeit einer Schwachstelle. Die Sophos-Forscher warnen jedoch vor blindem Vertrauen: EPSS berücksichtigt weder unternehmensspezifische Bedrohungsszenarien noch die Integration von Exploits in Malware-Kampagnen oder Ransomware-Toolkits.
Mehrdimensionale Bewertung als Ausweg
Die Experten von Sophos X-Ops plädieren für einen ganzheitlichen Ansatz. Neben CVSS und EPSS existieren weitere Bewertungssysteme wie SSVC (Stakeholder-Specific Vulnerability Categorization) und der KEV (Known Exploited Vulnerabilities) Catalog. Die Kombination dieser verschiedenen Metriken ermöglicht eine deutlich präzisere Einschätzung der realen Bedrohungslage.
Praxisnahe Implementierung
Für ein effektives Schwachstellenmanagement empfehlen die Sophos-Experten die Integration verschiedener Informationsquellen:
- Aktuelle Bedrohungsdaten und Threat Intelligence
- Unternehmensspezifische Sicherheitslage und Kontrollen
- Detaillierte Risikobewertungen
- Erkenntnisse aus Penetrationstests
- Ergebnisse von Sicherheitsaudits
Die Forschungsergebnisse unterstreichen: Eine rein mechanische Priorisierung nach einzelnen Scoring-Systemen greift zu kurz. Stattdessen müssen Unternehmen einen adaptiven Ansatz entwickeln, der verschiedene Bewertungsmethoden kombiniert und kontinuierlich an neue Bedrohungsszenarien angepasst wird.
