CNA- und ADP-Enrichment stärkt die Enginsight CVE-Datenbank mit mehr Kontext und besserer Datenqualität.
Common Vulnerabilies and Exposures (CVE) sind ein zentraler Dreh- und Angelpunkt für die Analyse von Schwachstellen. Sie verbinden Herstellerhinweise, Scanner, Tickets und Reporting über eine eindeutige Referenz. In der Praxis wird dafür zumeist auf die National Vulnerability Database (NVD) zurückgegriffen. Sie gilt als Standardquelle für CVE-Metadaten. Gleichzeitig bleibt die Frage, ob eine einzelne Quelle für ein so kritisches Thema ausreicht und ob man sich im Zweifel von deren Vollständigkeit und Aktualität abhängig machen möchte.
70 Tage Vorsprung: Wie Enginsight CVEs schneller und zuverlässiger erkennt
Enginsight setzt daher seit jeher auf eine breite Datenbasis und nutzt neben der NVD auch herstellerspezifische CVE-Datenbanken, etwa von Microsoft, verschiedenen Linux-Distributionen und weiteren Anbietern. Neu ist, dass die CVE-Daten aus der NIST-Datenbank nun zusätzlich durch CNA-Quellen und ADP-Enrichment angereichert werden. Dadurch lassen sich über 8 % mehr CVEs zuverlässig auswerten, während relevante Zusatzinformationen im Durchschnitt rund 70 Tage früher zur Verfügung stehen als in der reinen NVD.
Definition zentraler Begriffe
Common Vulnerabilies and Exposures (CVE) - Ein standardisiertes System zur eindeutigen Benennung und Beschreibung öffentlich bekannter Schwachstellen.
Common Vulnerability Exposure Scoring System (CVSS) - Ein Bewertungssystem, das die technische Schwere einer Schwachstelle als Score abbildet und häufig als Metadatum zu einer CVE geführt wird.
National Institute of Standards and Technology (NIST) - Eine US-Behörde, die die National Vulnerability Database (NVD) betreibt und bereitstellt.
National Vulnerability Database (NVD) - Eine von der NIST betriebene Datenbank, die CVE-Einträge sammelt und um standardisierte Metadaten wie CVSS, Referenzen und Produktzuordnungen ergänzt.
CVE Numbering Authorities (CNA) - Eine autorisierte Stelle im CVE-Programm, die CVE-IDs vergeben und CVE-Records für ihren Zuständigkeitsbereich veröffentlichen, pflegen und bspw. um weitere Metadaten oder Kontext anreichern darf.
Authorized Data Publisher (ADP) - Eine autorisierte Stelle im CVE-Programm, die bestehende CVE-Records zusätzlich anreichern darf, bspw. um weitere Metadaten oder Kontext.
Warum NVD allein nicht mehr reicht
Die NVD ist eine von NIST betriebene Datenbank für öffentlich bekannte Schwachstellen. Sie orientiert sich am CVE-Standard, registriert Schwachstellen als CVEs und ergänzt die Einträge um weitere Metadaten, wie zum Beispiel Scoring, Referenzen und Produktzuordnungen. Damit stellt sie einen zentralen Mehrwert für automatisierte CVE-Erkennung und Patchmanagement dar.
In der Praxis zeigt sich jedoch ein wiederkehrendes Problem. Viele Einträge bleiben zunächst unvollständig, weil die entscheidenden Detailinformationen oft fehlen oder erst verzögert ergänzt werden.
Eine CVE ist aber nur dann für automatisierte Analysen wirklich nutzbar, wenn ausreichend Details vorliegen. Fehlen diese Informationen oder werden sie verspätet nachgezogen, bieten NVD-Einträge nur begrenzten Mehrwert.
Das Resultat sind direkte Auswirkungen auf Erkennung und Priorisierung von CVEs. So werden CVEs nicht zuverlässig auf Systemen erkannt, nicht entsprechend gematcht oder lassen sich nicht verlässlich bewerten. Ein typischer Effekt ist die Häufung von False Positives, bspw. durch zu grobe Produktzuordnung, oder noch kritischer: False Negatives durch die unsaubere Erkennung betroffener Versionen.
Doch wie kann man diese Hürden überwinden?
Die Lösung: Zusätzliches CNA- und ADP-Matching
Während die NVD auf externe Quellen angewiesen ist, haben die Hersteller betroffener Software und Anwendungen die fehlenden Informationen häufig früher und in höherer Detailtiefe parat. Genau an dieser Stelle setzen CNA-Quellen an. CNAs sind zumeist Hersteller oder Maintainer, welche CVEs für Ihren Zuständigkeitsbereich vergeben und zugehörige Datensätze pflegen.
ADP-Enrichment ergänzt diese Herstellerperspektive zusätzlich. ADPs reichern CVE-Datensätze mit zusätzlichen Informationen an. Besonders hilfreich ist das vor allem dann, wenn Datensätze der NVD noch unvollständig sind oder zusätzlicher Kontext für eine reelle Priorisierung fehlt.
Durch die Kombination aus NVD, CNA und ADP ergeben sich ganz konkrete Vorteile:
- Besser verwertbare CVE-Datensätze
Datenbankeinträge in der NVD ohne konkrete Zusatzinformationen werden schneller nutzbar. So können Lücken in Analysen geschlossen und eine höhere Abdeckung geschaffen werden.
- Optimiertes Produkt- und Versionsmatching
Hersteller liefern oftmals präzisere Angaben zu betroffenen sowie nicht betroffenen Versionen und konkreten Fix-Versionen. Durch genauere Versionierung und klare Fix-Zielstände können False Positives effektiv reduziert werden. Gleichermaßen sinkt die False-Negatives-Rate durch ungenaue oder unvollständige NVD-Zuordnungen.
- Mehr Kontext für Priorisierung
Der CVSS genügt in der Realität selten aus. Die Anreicherung durch CNA- und ADP-Daten bietet zusätzlichen Kontext für eine Priorisierung. Somit wird aus einem einfachen Score eine realistische Bewertung für die eigenen Systeme.
- Schnellere Handlungsfähigkeit
Wenn Informationen über betroffene Versionen, Fix-Versionen oder Mitigationsmöglichkeiten der betroffenen Schwachstelle direkt im Datensatz vorliegen, können Workflows automatisiert greifen. So werden Erkennung, Einordnung und Priorisierung von CVEs optimiert sowie die Patch-Planung vereinfacht.
- Nachvollziehbarkeit durch transparente Quellen
Wenn Daten aus mehreren Quellen stammen, sind Informationen über den Ursprung der Quellen relevant, was durch die klare Zuordnung zu CNA oder ADP sichtbar wird. Dies erleichtert die Prüfung durch Analysten, macht Entscheidungen bei widersprüchlichen Aussagen nachvollziehbar und liefert im Audit oder gegenüber Kunden einen belastbaren Nachweis, warum eine CVE so bewertet und priorisiert wurde.
Neben den genannten Vorteilen ist die Anreicherung der Enginsight CVE-Datenbank um CNA- und ADP-Quellen auch direkt messbar. Vor der Einführung der Erweiterung fehlten für 32.717 Einträge aus der NVD verwertbare Zusatzinformationen. Durch die Einbindung von CNA-Quellen konnten bereits 1.793 dieser zuvor „leeren“ Einträge in einen nutzbaren Zustand überführt werden. Durch ADP-Enrichment kommen weitere 1.049 ergänzte CVEs hinzu.
Damit steigt die Abdeckung um 8,69 % in Bezug auf Einträge, die zuvor nicht zuverlässig analysierbar waren und nun verwertbar sind. Zusätzlich ergibt sich ein klarer zeitlicher Vorteil. In unserer CVE-Datenbank liegen die entscheidenden Zusatzinformationen im Schnitt 70 Tage früher als in der NVD vor.
Durch den weiteren Ausbau der Versionserkennung für CNA- und ADP-Daten können Sie sich künftig auf eine weitere Erhöhung der Abdeckung freuen.
