Bei der Analyse und Weiterverarbeitung von Sicherheitslücken sind Metadaten enorm wichtig. Neben dem Schweregrad, der in der CVSS-Methodik (Common Vulnerability Scoring System) einen Wert zwischen 0 und 10 bekommt, sind auch maschinenlesbare Informationen über betroffene Produkte und Versionen, Art und Ausnutzbarkeit der Lücke und der Patch-Status von Bedeutung. Anzeige Hersteller von Sicherheitsprodukten zur Gefahrenabwehr und -protokollierung, etwa Firewalls, SIEM (Security Incident and Event Management) und XDR (Extended Detection and Response) sind darauf angewiesen, die angereicherten Vulnerabilitätsdaten zügig abrufen zu können, um auf neuartige Bedrohungen reagieren zu können. Die NVD (National Vulnerability Database), eine Organisation der US-Regierung und Teil der Normenbehörde NIST, ist für die Anreicherung der CVE-Daten zuständig. Seit Mitte Februar nimmt sie jedoch diese Aufgabe nicht mehr wahr; seit diesem Zeitpunkt prangt auf der Homepage der NVD eine Mitteilung über "verspätete Analysebemühungen". Melden macht frei? Die NVD informiert über Verzögerungen und bittet Nutzer um Geduld (Bild: Screenshot / heise security) Dass sich die Analyse und Anreicherung von Sicherheitslücken lediglich verzögere, ist dabei arg beschönigend. Von über 2.200 seit 15. Februar veröffentlichten Sicherheitslücken mit CVE-ID sind lediglich 59 mit Metadaten versehen, 2.152 liegen brach. Da täglich Dutzende bis Hunderte neue Lücken in die CVE-Liste eingespeist werden, dürfte der Rückstau kaum einzuholen sein. Immerhin: Die CVSS-Bewertung führen oftmals die Melder einer Sicherheitslücke selbst durch, sodass diese Information bei vielen CVEs trotz der Arbeitsunterbrechung bei der NVD vorhanden ist. Nur wenige CVE-IDs hat die NVD seit Mitte Februar mit Metadaten angereichert. (Bild: Anchore) Darüber, wie sie die Tausenden offenen Sicherheitslücken abarbeiten will und vor allem, wann sie ihre Arbeit wieder aufnimmt, schweigt sich die NVD derzeit aus. NVD-Zwang für US-Bundesbehörden Besonders ärgerlich ist dieser Umstand für Unternehmen, die der US-Regierung ihre IT-Sicherheitsprodukte verkaufen wollen. Gemäß der neuesten Version der FedRAMP-Richtlinien (Federal Risk and Authorization Management Program) müssen Anbieter auf die Daten der NVD zurückgreifen, um Sicherheitslücken zu beschreiben – etwa bei Schwachstellenscans. Pikant: Die NIST, Verwalterin der nationalen Schwachstellendatenbank, ist an der Erstellung der FedRAMP-Richtlinien beteiligt. Das CVE-System steht derzeit verstärkt in der Kritik. So äußerte sich cURL-Entwickler Daniel Stenberg mehrfach kritisch über die Vergabepraxis, die Datenbank platzt zudem aus allen Nähten: Über 25.000 neue CVE-IDs wurden 2023 vergeben, ein Plus von 15 Prozent zum Vorjahr. (cku) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Bei der Analyse und Weiterverarbeitung von Sicherheitslücken sind Metadaten enorm wichtig. Neben dem Schweregrad, der in der CVSS-Methodik (Common Vulnerability Scoring System) einen Wert zwischen 0 und 10 bekommt, sind auch maschinenlesbare Informationen über betroffene Produkte und Versionen, Art und Ausnutzbarkeit der Lücke und der Patch-Status von Bedeutung. Anzeige Hersteller von Sicherheitsprodukten zur Gefahrenabwehr und -protokollierung, etwa Firewalls, SIEM (Security Incident and Event Management) und XDR (Extended Detection and Response) sind darauf angewiesen, die angereicherten Vulnerabilitätsdaten zügig abrufen zu können, um auf neuartige Bedrohungen reagieren zu können. Die NVD (National Vulnerability Database), eine Organisation der US-Regierung und Teil der Normenbehörde NIST, ist für die Anreicherung der CVE-Daten zuständig. Seit Mitte Februar nimmt sie jedoch diese Aufgabe nicht mehr wahr; seit diesem Zeitpunkt prangt auf der Homepage der NVD eine Mitteilung über "verspätete Analysebemühungen". Melden macht frei? Die NVD informiert über Verzögerungen und bittet Nutzer um Geduld (Bild: Screenshot / heise security) Dass sich die Analyse und Anreicherung von Sicherheitslücken lediglich verzögere, ist dabei arg beschönigend. Von über 2.200 seit 15. Februar veröffentlichten Sicherheitslücken mit CVE-ID sind lediglich 59 mit Metadaten versehen, 2.152 liegen brach. Da täglich Dutzende bis Hunderte neue Lücken in die CVE-Liste eingespeist werden, dürfte der Rückstau kaum einzuholen sein. Immerhin: Die CVSS-Bewertung führen oftmals die Melder einer Sicherheitslücke selbst durch, sodass diese Information bei vielen CVEs trotz der Arbeitsunterbrechung bei der NVD vorhanden ist. Nur wenige CVE-IDs hat die NVD seit Mitte Februar mit Metadaten angereichert. (Bild: Anchore) Darüber, wie sie die Tausenden offenen Sicherheitslücken abarbeiten will und vor allem, wann sie ihre Arbeit wieder aufnimmt, schweigt sich die NVD derzeit aus. NVD-Zwang für US-Bundesbehörden Besonders ärgerlich ist dieser Umstand für Unternehmen, die der US-Regierung ihre IT-Sicherheitsprodukte verkaufen wollen. Gemäß der neuesten Version der FedRAMP-Richtlinien (Federal Risk and Authorization Management Program) müssen Anbieter auf die Daten der NVD zurückgreifen, um Sicherheitslücken zu beschreiben – etwa bei Schwachstellenscans. Pikant: Die NIST, Verwalterin der nationalen Schwachstellendatenbank, ist an der Erstellung der FedRAMP-Richtlinien beteiligt. Das CVE-System steht derzeit verstärkt in der Kritik. So äußerte sich cURL-Entwickler Daniel Stenberg mehrfach kritisch über die Vergabepraxis, die Datenbank platzt zudem aus allen Nähten: Über 25.000 neue CVE-IDs wurden 2023 vergeben, ein Plus von 15 Prozent zum Vorjahr. (cku) Zur Startseite