Common Vulnerability Scoring System: Unterschied zwischen den Versionen

Aus Foxwiki
K Textersetzung - „:Sicherheit/“ durch „:Informationssicherheit/“
Markierung: Manuelle Zurücksetzung
Keine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
== Beschreibung ==
== Beschreibung ==
; '''CVSS''' („Allgemeines Bewertungssystem für Schwachstellen“)
; '''CVSS''' („Allgemeines Bewertungssystem für Schwachstellen“)
* ist ein [[Industriestandard]] zur Bewertung des Schweregrades von möglichen oder tatsächlichen [[Sicherheitslücke Software)|Sicherheitslücken]] in [[Computer]]-Systemen.  
[[Industriestandard]] zur Bewertung des Schweregrades [[Sicherheitslücke Software)|Sicherheitslücken]] in [[Computer]]-Systemen.  
* Im CVSS werden Sicherheitslücken nach verschiedenen Kriterien, sogenannten [[Softwaremetrik|Metrics]], bewertet und miteinander verglichen, so dass eine Prioritätenliste für Gegenmaßnahmen erstellt werden kann.
* Möglichen oder tatsächliche
* CVSS ist selbst kein System zur Warnung vor Sicherheitslücken, sondern ein Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen<ref name="faq"> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/faq/ |wayback=20110308031727 }}</ref>.
* Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden<ref>{{Literatur |Titel=CVSS rating for Meltdown and Spectre |Datum=2018-01-08 |Online=https://community.isc2.org/t5/Ask-ISC/CVSS-rating-for-Meltdown-and-Spectre/td-p/4955 |Abruf=2018-05-16}}</ref><ref>{{Internetquelle |url=https://www.suse.com/de-de/security/cve/CVE-2017-5753/ |titel=CVE-2017-5753 {{!}} SUSE |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://access.redhat.com/security/cve/cve-2017-5753 |titel=CVE-2017-5753 - Red Hat Customer Portal |zugriff=2018-05-16 |sprache=en}}</ref><ref>{{Internetquelle |url=https://exchange.xforce.ibmcloud.com/vulnerabilities/137052 |titel=Multiple Intel CPU's information disclosure CVE-2017-5753 Vulnerability Report |zugriff=2018-05-16}}</ref><ref>{{Internetquelle |url=https://nvd.nist.gov/vuln/detail/CVE-2017-5753 |titel=NVD - CVE-2017-5753 |zugriff=2018-05-16}}</ref>.


; CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben<ref name="faq" /> und wird derzeit durch das ''Forum of Incident Response and Security Teams''<ref>http://www.first.org/cvss</ref> betreut.
; Bewertung
* Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' hat David Ahmad von [[NortonLifeLock|Symantec]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/team/ |wayback=20101122145130 }}</ref> In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], [[Qualys]], Symantec.<ref name="faq" /> CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].<ref> {{Webarchiv|text=Archivlink |url=http://www.first.org/cvss/eadopters.html |wayback=20110325172518 }}</ref> Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.
Sicherheitslücken nach verschiedenen Kriterien ([[Softwaremetrik|Metrics]]) bewerten und vergleichen
* Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.<ref>https://www.first.org/cvss/specification-document#i5</ref>
* Damit kann eine Prioritätenliste für Gegenmaßnahmen erstellt werden


== Siehe auch ==
; Kein System zur Warnung vor Sicherheitslücken
# [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO)
Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen
# Common Weakness Scoring System (CWSS™, MITRE)
* Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden
# [[Common Vulnerabilities and Exposures]] (CVE, ITU)


=== Links ===
== Entstehung ==
==== Einzelnachweise ====
CVSS wurde 2005 vom ''National Infrastructure Advisory Council'' (NIAC), einer Arbeitsgruppe des US-[[Ministerium für Innere Sicherheit der Vereinigten Staaten|Ministeriums für Innere Sicherheit]], in Auftrag gegeben und wird derzeit durch das ''Forum of Incident Response and Security Teams'' betreut.
<references />
* Den derzeitigen Vorsitz der Arbeitsgruppe ''CVSS-SIG team'' hat David Ahmad von [[NortonLifeLock|Symantec]].
In die Entwicklung von CVSS sind eingebunden: [[CERT]], [[Cisco]], [[Department of Homeland Security|DHS]]/[[Mitre Corporation|MITRE]], [[eBay]], [[IBM]], [[Microsoft]], [[Qualys]], Symantec. CVSS wird ferner unterstützt von [[Hewlett-Packard|HP]], [[McAfee]], [[Oracle]], und [[Skype]].
Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.
* Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.


==== Projekt ====
<noinclude>
==== Weblinks ====
== Anhang ==
 
=== Siehe auch ===
{{Special:PrefixIndex/CVSS}}
----
* [[Common Criteria for Information Technology Security Evaluation]] (IEC, ISO)
* Common Weakness Scoring System (CWSS™, MITRE)
* [[Common Vulnerabilities and Exposures]] (CVE, ITU)
 
==== Links ====
===== Projekt =====
===== Weblinks =====
# https://de.wikipedia.org/wiki/CVSS
# https://de.wikipedia.org/wiki/CVSS
# http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]
# http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]
Zeile 32: Zeile 45:
# [http://nvd.nist.gov/ All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site]
# [http://nvd.nist.gov/ All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site]
# [http://www.security-database.com/dashboard.php Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL]
# [http://www.security-database.com/dashboard.php Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL]
# Heise online |ID=5031983 |Titel=Von niedrig bis kritisch: Schwachstellenbewertung mit CVSS|Autor=Andreas Kurtz |Datum=2021-01-25 |Abruf=2021-01-27
# https://www.heise.de/hintergrund/Von-niedrig-bis-kritisch-Schwachstellenbewertung-mit-CVSS-5031983.html
 
[[Kategorie:Bewertungskriterien]]


== Testfragen ==
</noinclude>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
[[Kategorie:Informationssicherheit/Assessment]]

Aktuelle Version vom 20. Januar 2024, 13:19 Uhr

Common Vulnerability Scoring System (CVSS) - Industriestandard zur Bewertung von Sicherheitslücken in Computer-Systemen

Beschreibung

CVSS („Allgemeines Bewertungssystem für Schwachstellen“)

Industriestandard zur Bewertung des Schweregrades Sicherheitslücken in Computer-Systemen.

  • Möglichen oder tatsächliche
Bewertung

Sicherheitslücken nach verschiedenen Kriterien (Metrics) bewerten und vergleichen

  • Damit kann eine Prioritätenliste für Gegenmaßnahmen erstellt werden
Kein System zur Warnung vor Sicherheitslücken

Standard, um verschiedene Beschreibungs- und Messsysteme miteinander kompatibel und allgemein verständlich zu machen

  • Dieses Ziel wird jedoch auch durch mehrfache Überarbeitungen des Standards nicht erreicht, da unverändert identische Sicherheitslücken von unterschiedlichen Akteuren unterschiedlich bewertet werden

Entstehung

CVSS wurde 2005 vom National Infrastructure Advisory Council (NIAC), einer Arbeitsgruppe des US-Ministeriums für Innere Sicherheit, in Auftrag gegeben und wird derzeit durch das Forum of Incident Response and Security Teams betreut.

  • Den derzeitigen Vorsitz der Arbeitsgruppe CVSS-SIG team hat David Ahmad von Symantec.

In die Entwicklung von CVSS sind eingebunden: CERT, Cisco, DHS/MITRE, eBay, IBM, Microsoft, Qualys, Symantec. CVSS wird ferner unterstützt von HP, McAfee, Oracle, und Skype.

Im Juni 2007 wurde die zweite Version des Scoring Systems veröffentlicht.

  • Mit CVSSv3.0 wurde das System im Juni 2015 neu aufgelegt und beinhaltet neben diversen Überarbeitungen der Metrik die Einführung von Schlüsselwörtern für die Schweregrade (Kein / Niedrig / Mittel / Hoch / Kritisch) sowie eine Bedienungsanleitung und daran gekoppelte Beispielberichte.


Anhang

Siehe auch


Links

Projekt
Weblinks
  1. https://de.wikipedia.org/wiki/CVSS
  2. http://www.first.org/cvss the Forum of Incident Response Teams FIRST CVSS site]
  3. National Vulnerability Database NVD CVSS site
  4. Common Vulnerability Scoring System Version 3.1 Calculator
  5. Common Weakness Scoring System Version 1.0.1 Calculator
  6. Security-Database online CVSS 2.0 calculator
  7. A list of early adopters
  8. All software/hardware vulnerabilities are CVSS scored and can be viewed at the NVD site
  9. Security-Database vulnerabilities dashboard scored with CVSS and other Open Standards CVE, CPE, CWE, CAPEC, OVAL
  10. https://www.heise.de/hintergrund/Von-niedrig-bis-kritisch-Schwachstellenbewertung-mit-CVSS-5031983.html