Künftig soll das Common Weakness Scoring System (CWSS) Herstellern und Kunden eine bessere Einschätzung geben, welche entdeckten Schwachstellen mit hoher Priorität geschlossen werden müssen. Wird während eines Code Audits ein Buffer Overflow gefundender, so wird diesem ein geringerer CWSS-Wert zugewiesen, wenn etwa die dabei kopierten Daten nicht aus Nutzereingaben stammen können. Noch geringer werden Speicherlecks, die zum Absturz führen, bewertet.

Das bereits seit einiger Zeit etablierte Common Vulnerability Scoring System (CVSS) versucht eine ähnliche Einstufung von Lücken. Sowohl grundlegende Bewertungen (basic metrics) wie lokale oder entfernte Ausnutzbarkeit der Lücke als auch die Vertrauenswürdigkeit des Entdeckers oder zeitliche Komponenten (temporal metrics) wie die Verfügbarkeit eines Exploits fließen in das CVSS-Rating ein. Auch die System-Umgebung der Lücke (environment metrics) wird bewertet.

CWSS und CVSS haben nach Angaben der CWSS-Autoren durchaus parallelen, allerdings fehlten CVSS ausreichend organisatorische Parameter. Hingegen soll in CWSS auch die Auswirkung auf unternehmenskritische Prozesse in die Bewertung eingehen. Die Einstufung soll zudem berücksichtigen, auf welche Art von Daten eine Lücke Zugriff ermögliche und ob man diese auslesen, verändern oder löschen könne. CWSS soll bereits während der Entwicklungsphase Anwendung finden können.

Das nun in Version 0.8 vorliegende Bewertungssystem wurde von MITRE entwickelt. CWSS wird vom Department of Homeland Security und der US-amerikanischen National Cyber Security Division gefördert, ausserdem wurde dem CWSS noch das Common Weakness Risk Analysis Framework (CWRAF) zur Seite gestellt, mit dem eine nachvollziehbare Einstufung möglich sein soll.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE