Dieser Artikel behandelt die folgenden Themen:

Die Facetten der Advisories und wie man sie effektiv nutzt

Die häufigsten Probleme bei der Erstellung und Erhebung von Advisories

OMICRON-Advisories und Zusammenarbeit mit Advisories anderer Hersteller

All diese Themen sind wichtig für die Datenbank, die wir zum Schwachstellenmanagement anbieten. Sie ist in GridOps enthalten, dem zentralen Managementsystem von StationGuard, unserem OT-Intrusion-Detection-System. Wenn Sie ein Schwachstellenmanagement in Ihrem eigenen System einführen wollen, wird dieser Artikel besonders hilfreich sein.

 

Zunächst möchten wir gerne die Begriffe „Advisory” und „CSAF” erläutern. Ein Advisory ist ein Dokument, in dem bekannte Sicherheitsprobleme und Schwachstellen von Produkten aufgeführt sind. Es wird in der Regel vom Hersteller veröffentlicht, der das Produkt entwickelt hat. CSAF ist ein maschinenlesbares, standardisiertes Format für Advisories, das die Handhabung und Verarbeitung dieser Informationen erleichtert. CSAF verwendet das JSON-Format.

Advisories und CSAF verstehen

Nachdem Sie Ihre Geräte im Netzwerk identifiziert haben, sollten Sie diese auf Schwachstellen untersuchen. Doch wie erfahren Sie, welche Sicherheitsinformationen es über Ihre Netzwerkgeräte gibt? Avisories helfen dabei, die Schwachstellen eines Systems zu ermitteln. Voraussetzung dafür ist, dass die Informationen über die Geräte korrekt sind. Anstatt manuell zu ermitteln, welche CVEs auf Sie zutreffen, können Sie Ihre Anlageninformationen mit dem Inhalt der Warnhinweise vergleichen. Wie stellen die Anbieter diese Hinweise zur Verfügung?

Wir sehen oft PDF- und HTML-Seiten mit Sicherheits-Advisories. Doch sich allein auf PDFs und HTMLs zu verlassen, ist nicht effizient. Hier kommt CSAF ins Spiel. Als Nachfolger des CVRF (Common Vulnerability Reporting Framework) sorgt CSAF dafür, dass Advisories standardisiert  geschreiben und in einem maschinenlesbaren Format bereitgestellt werden. So können Kunden, Schwachstellen in ihren Systemen automatisch identifizieren und beheben, ohne unzählige Stunden mit dem Durchsuchen von PDFs und HTML-Seiten zu verbringen. Da CSAF von vielen Anbietern genutzt wird, können Schwachstellen schneller verfolgt und die Anzahl der manuell zu prüfenden Hinweise erheblich verringert werden. Das spart viel Zeit.

Die Erstellung von CSAF-Hinweisen ist zwar ein Schritt in die richtige Richtung, löst aber nicht alle Probleme. Schlecht geschriebene CSAFs können ohne vorherige Bereinigung nicht effektiv automatisiert eingesetzt werden. Und wie bei jedem Rahmenwerk wird es von verschiedenen Unternehmen und Einzelpersonen unterschiedlich genutzt werden - und je mehr Menschen damit arbeiten, desto mehr individuelle Interpretationen werden entstehen.

Als Teil des Stromversorgungsnetzes erstellen wir Advisories, die für die Aufrechterhaltung der Sicherheit kritischer Infrastrukturen von entscheidender Bedeutung sind. Die Qualität dieser Meldungen ist daher von großer Wichtigkeit für uns.

Nachdem wir nun die Grundlagen behandelt haben, werden wir uns nun den häufigen Fallstricken bei Advisories und den spezifischen Problemen zuwenden, die bei CSAF auftreten können.

Advisories können unvorhersehbar sein und lassen sich nicht immer eindeutig interpretieren. Die meisten Advisories sind zwar nützlich und gut formuliert und machen deutlich, worum es geht, aber manche können auch problematisch sein.

Herausforderungen der Advisory-Publikation

In einigen Fällen stoßen wir auf Advisories, die unseren Abgleichprozess aufgrund von unkonventionellen Entscheidungen bei der Produktentwicklung oder dem Advisory selbst beeinträchtigen. So kann es beispielsweise vorkommen, dass einige Produkte die Version 8.2 als höher als 8.10 ansehen, was die numerische Sortierung erschwert. Auch Änderungen am Versionsschema während des Lebenszyklus eines Produkts können zu Automatisierungsproblemen führen. Diese Beispiele verdeutlichen, warum der Abgleich von Schwachstellen so schwierig sein kann.

Neben inhaltlichen Fehlern oder schlechten Praktiken sehen wir uns auch mit Herausforderungen bei der Veröffentlichung von Advisories konfrontiert. Als Organisation, die an der Sammlung von Advisories interessiert ist, sehen wir uns mit drei wesentlichen Problemen konfrontiert:

Erstens führen Ratenbeschränkungen für den Zugriff auf Webseiten dazu, dass Advisories einiger Anbieter nicht automatisch abgerufen werden. Dies stellt insbesondere für Anbieter, die keine RSS-Feeds oder ähnliche Benachrichtigungen für Aktualisierungen von Advisories bereitstellen, ein Problem dar. In den meisten Fällen können wir dieses Problem durch eine Drosselung der Downloads lösen. Allerdings ist es für Nutzer:innen frustrierend, wenn der Zugriff verweigert wird, wenn sie versuchen, Advisories herunterzuladen. Daher könnte die Bereitstellung von Advisories über andere Wege als Downloads von der Website von Vorteil sein.

Des Weiteren können JavaScript-Weiterleitungen zu Schwierigkeiten beim automatischen Herunterladen von Hinweisen führen. Das Herunterladen von Hinweisen mit einem Tool wie curl resultiert lediglich in einer Reihe von Weiterleitungsseiten anstelle von CSAF-Dateien. Die Empfehlung, auf Weiterleitungen für die Veröffentlichung von Hinweisen zu verzichten, basiert auf der Erkenntnis, dass HTTP-Weiterleitungen nur in Ausnahmefällen zulässig sind.

Und schließlich, und vielleicht am ärgerlichsten, die Lokalisierung. Einige Hinweise werden in anderen Sprachen anders oder gar nicht veröffentlicht. Es ist nicht das erste Mal, dass diese Sicherheitslücke veröffentlicht wurde, aber es könnte das erste Mal sein, dass Sie darauf stoßen. Es ist für uns alle sehr frustrierend, wenn ein neuer Hinweis als alt erscheint, nur weil er aufgrund von Lokalisierungsunterschieden nicht auf der Seite veröffentlicht wurde, die man gerade ansieht.

Außerdem benachrichtigen die Anbieter die Nutzer:innen noch immer nicht ordnungsgemäß über neue Hinweise oder Änderungen. Wir haben alle verfügbaren Optionen untersucht, darunter Webtabelleneinträge, E-Mail-Benachrichtigungen und RSS- oder Atom-Feeds. Von allen untersuchten Methoden sind RSS- und Atom-Feeds am benutzerfreundlichsten, da sie Sie über Änderungen informieren. Bei anderen Methoden müssen Sie oft manuell nach Aktualisierungen suchen. Dies ist allerdings Jammern auf hohem Niveau, da generell noch alle mit der Verfeinerung der CSAF-Publikationsinfrastruktur beschäftigt sind.

Die Rolle des CSAF im Schwachstellen­management und seine Herausforderungen

Alle oben genannten Herausforderungen könnten durch die Einführung einer CSAF-Herausgeberinfrastruktur erheblich verbessert werden. Ein CSAF-Anbieter zu sein, gewährleistet einen einfachen und ordnungsgemäßen Zugang zu Advisories, wodurch die zuvor genannten Probleme vermieden werden. 

Das CSAF ist jedoch keine Einheitslösung. Die Veröffentlichung von CSAF macht die Meldungen nicht automatisch maschinenlesbar. Hier kommen wir ins Spiel. Wir sammeln Advisories von relevanten Anbietern in unserem Bereich und erstellen, validieren und bereinigen diese Advisories, um sicherzustellen, dass sie mit den Anlagenbeständen unserer Nutzer:innen abgeglichen werden können.

CSAF ist das beste Format, das wir derzeit haben, um den Abgleich und die Verwaltung von Schwachstellen zu automatisieren. Selbstverständlich kann dieser Ansatz eine Reihe von Herausforderungen mit sich bringen, sowohl neue als auch bekannte. Wir haben diese Erfahrung gemacht und sind bestrebt, sie für Sie zu meistern.

Lassen Sie uns also auf die Herausforderungen eingehen, die wir mit dem CSAF erlebt haben. Denn selbst wenn Sie das CSAF gründlich befolgen, können Sie dennoch angreifbar sein.

Das CSAF unterteilt die Dateien in drei Abschnitte: Dokument, Produkt-Baum und Schwachstellen.

Gehen wir sie der Reihe nach durch.

Abschnitte des CSAF erkunden:
Dokument, Produktbaum und Schwachstellen

Dokument

Der Bereich „Dokument“ umfasst in der Regel alle relevanten Informationen über den Herausgeber, Verweise auf Advisories, Anmerkungen sowie eine detaillierte Beschreibung des Advisorys selbst. Ein wesentlicher Bestandteil dieses Abschnitts ist die Tracking-ID, die für jede Empfehlung und jeden Hersteller eindeutig sein sollte. Dies ermöglicht eine eindeutige Referenzierung eines Advisorys anhand seiner ID und seines Herstellers. Bei der Prüfung sind wir auf einige Probleme gestoßen, insbesondere im Zusammenhang mit den Tracking-IDs. Bei einigen Advisories wurde die Tracking-ID anstelle der Revisionsnummern erhöht, was zu herstellerspezifischen Deduplizierungen führte. Ein weiteres Problem ist das Schreiben von Nicht-URL-Strings in URL-Felder, was zu Validierungsfehlern und anderen kleinen Problemen führt.

Produkt-Baum

Die Integration von PDF-Inhalten in einen CSAF-Bericht stellt uns vor eine der größten Herausforderungen bei der Erstellung von CSAF-Inhalten. Obwohl die Vorgehensweise einfach erscheint, ist die Umsetzung in der Praxis mit Schwierigkeiten verbunden. Die Erstellung eines maschinenlesbaren Formats kann einige Zeit in Anspruch nehmen, insbesondere bei komplexen Inhalten. So kann es beispielsweise herausfordernd sein, genau zu bestimmen, welche Geräte und Firmware-Versionen betroffen sind. Idealerweise erfolgt die Auflistung jedes anfälligen Geräts einzeln, am besten mit einer Art Common Platform Enumeration (CPE). Sollte dies nicht möglich sein, erleichtert die Einhaltung einer einheitlichen Namenskonvention das automatische Parsen und Verstehen von Advisories erheblich. Der zeitaufwändigste Teil der Bereinigung von Advisories besteht in der Umsetzung automatisierter Verfahren, um sie anschließend mit Asset-Daten abgleichen zu können. Eine weitere Problematik ergibt sich, wenn bestimmte Gerätemodule wie Schutz- und Steuergeräte betroffen sind. Es gibt Möglichkeiten, Advisories zu verfassen, die die betroffenen Module spezifizieren, beispielsweise durch die Verwendung von „installed_with“- oder „optional_component_of“-Beziehungen. Das Konzept der Beziehungen wird derzeit in der CSAF-Landschaft jedoch nur unzureichend genutzt, insbesondere im Bereich der Betriebstechnik.
Ad­vi­sories und ihre Hand­ha­bung, OMICRON

Unser Vorschlag für einen effektiven Aufbau.

Ad­vi­sories und ihre Hand­ha­bung

Die übliche Vorgehensweise bei der Strukturierung von Hinweisen

Diese Struktur ist zwar nicht unbedingt falsch, aber sie schöpft die Möglichkeiten der CSAF nicht voll aus.

Dieser Ansatz nutzt das volle Potenzial von CSAF, indem er die Beziehungen zwischen Produkten und ihren Komponenten klar definiert. Es gibt zahlreiche weitere bekannte Fallstricke im Abschnitt product_tree. Wenn Sie daran interessiert sind, können Sie sich gerne an uns wenden. Wir haben viele Geschichten und Erkenntnisse zu erzählen.

Schwachstellen

Der letzte Teil eines CSAF, der sogenannte Schwachstellen-Bereich, war in der Vergangenheit von wenigen nennenswerten Problemen geprägt. Dies lässt sich vermutlich darauf zurückführen, dass dieser Abschnitt klar definiert ist und sich auf klassische Schwachstelleninhalte wie Abhilfemaßnahmen, Beschreibungen, Anmerkungen und CVSS-Scores konzentriert.

Ein Beispiel für eine potenzielle Fehlerquelle ist ein falscher oder zu großzügiger Verweis, der dazu führen kann, dass bestimmte Einträge im Feld der betroffenen Produkte veraltet sind. Des Weiteren kann die Bezugnahme auf alle Versionen zusammen mit bestimmten Bereichen im Feld „Bekanntermaßen betroffen“ andere Versionsreferenzen aufheben, was bei einem späteren Abgleich zu Problemen führt. Dies sind lediglich einige wenige Sonderfälle. Es gibt noch zahlreiche weitere. Wie kann ein Systemadministrator also all die Informationen nutzen, die er über PDFs, HTML-Advisories und hoffentlich auch über einige CSAFs gesammelt hat?

Unsere Spezialisten nutzen in der Regel spezialisierte Tools, um die bei der Arbeit mit diesen Advisories gesammelten Erfahrungen und Kenntnisse zu nutzen. Wir haben über 4 000 Advisories gesammelt und mehr als tausend davon angepasst, erstellt und behoben. Mit all diesen Erfahrungen und Kenntnissen können wir unsere Kund:innen unterstützen und die Probleme, auf die wir in diesen Advisories stoßen, an die jeweiligen Anbieter weitergeben. So stellen wir sicher, dass kritische Infrastrukturen bestmöglich geschützt werden können.

Und weil wir irgendwo Schluss machen müssen, hören wir hier auf. Nicht, weil wir nicht noch mehr Beobachtungen mitzuteilen oder besondere Fälle zu betrachten hätten. Wir könnten das den ganzen Tag tun. Wenn Sie jedoch bis hierhin gelesen haben, sind sie womöglich daran interessiert, sich näher mit CSAF zu befassen, selbst einen CSAF zu verfassen oder nach Möglichkeiten zum Arbeiten mit CSAF zu suchen. Zudem interessieren Sie sich auch dafür, wie die OMICRON Cybersicherheitsprodukte unser gesamtes Expert:innenwissen einbeziehen. In diesem Fall werfen Sie gerne einen Blick auf unsere StationGuard- und GridOps-Lösung.
 

News und Aktuelles

CVE-2024-37998
26. Juli 2024

Kritische Schwachstelle in Siemens OT–Systemen

Im Eintrag WID-SEC-2024-1686 meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Schwachstelle in SICAM-SCADA-Systemen.

Lesen Sie den Beitrag
Advisories und ihre optimale Handhabung
12. Juli 2024

Advisories und ihre Handhabung

Die vielfältige Welt der Sicherheits-Advisories und deren effektiver Nutzung sowie die Entwicklung der OMICRON-Advisories steht im Mittelpunkt dieses Artikels.

Lesen Sie den Beitrag
Firewalls unter Feuer, Holger Skurk
21. Juni 2024

Firewalls unter Beschuss - Wie Sie Ihre Systeme schützen

Firewalls sind die erste Verteidigungslinie beim Schutz kritischer Infrastrukturen im Cyberspace. Das macht sie für Angreifer besonders attraktiv.

Lesen Sie den Beitrag
StationGuard 2.40, OMICRON
22. Mai 2024

StationGuard 2.40 – Neue Verbesserungen der Bedienbarkeit

Die neue Version bringt viele Verbesserungen der Bedienbarkeit inklusive MMS-Server-Integration, verbesserter IP-Adressen-Erkennung und mehr ...

Lesen Sie den Beitrag
Vulnerability Management, Andreas Klien
14. Mai 2024

Schwachstellenmanagement in der Praxis

Wie OMICRON-Experten die Schwachstellendatenbank von StationGuard GridOps erstellen (Sammeln von Advisories, Risikobewertung, Asset-Inventarisierung, etc.

Lesen Sie den Beitrag
NIST - 2024
24. April 2024

Was ist neu im NIST Cybersecurity Framework?

Am 26. Februar 2024 hat das National Institute of Standards and Technology (NIST) die zweite Version des Cybersecurity Framework (CSF 2.0) veröffentlicht.

Lesen Sie den Beitrag
Cybersecurity Regulations
09. April 2024

Stand der Technik beim Schwachstellen-Management

Das deutsche IT-Sicherheitsgesetz und das Energiewirtschaftsgesetz schreiben vor, dass Sie den „Stand der Technik” erfüllen, um Cyber-Risiken zu managen.

Lesen Sie den Beitrag
OMIC­RON ver­bes­sert Nmap-Plug-in
26. März 2024

OMICRON verbessert Nmap-Plug-in

Wir haben in Zusammenarbeit mit dem BSI und dem Fraunhofer Institut ein Nmap-Plug-in für OT-Netze entwickelt, das Tools für Stromnetzadministrator:innen bietet.

Lesen Sie den Beitrag
EnergyTalks, Podcast Episode, Ron Brash, Andreas Klien
13. Februar 2024

Chan­cen und Ri­si­ken der Be­triebs­tech­no­lo­gie (OT) in den Bran­chen der En­er­gie und Luft­fahrt

Andreas Klien spricht mit Ron Brash über die Unterschiede und Gemeinsamkeiten beim Einsatz von OT-Technologie in der Luftfahrt- und der Stromversorgungsbranche.

Lesen Sie den Beitrag
Sarah Fluchs, Andreas Klien, Podcast-Episode
11. Jänner 2024

Vertrauen in digitale Produkte im Energienetz schaffen

In dieser Folge diskutiert Andreas Klien mit seinem Gast Sarah Fluchs über die Sicherheitstechnik von digitalen Produkten, die im Energienetz eingesetzt werden.

Lesen Sie den Beitrag
OMICRON EnergyTalks - Podcast episode
10. Jänner 2024

Erfahrungen und Innovationen bei der Entwicklung von Cyber-Security-Produkten

In dieser Folge berichten Anastasiya und Jaques über ihre Erfahrungen, Herausforderungen und Innovationen bei der Entwicklung unserer Cybersicherheitsprodukte.

Lesen Sie den Beitrag
StationGuard Receives Security Certificate from the BSI
17. Dezember 2023

StationGuard IDS mit dem IT-Sicherheitszertifikat des BSI ausgezeichnet

BSI prämiert unser Angriffserkennungssystem StationGuard mit dem IT-Sicherheitszertifikat (BSZ) – das erste System mit dieser Auszeichnung.

Lesen Sie den Beitrag
CVE-2023-45871 - Entdeckung und Behebung einer kritischen Sicherheitslücke in Linux, Eric Heindl
04. Dezember 2023

Achtung CVE-2023-45871 - Entdeckung und Behebung einer kritischen Linux-Sicherheitslücke

Sie glauben, dass Ihre Geräte gegen Cyber-Bedrohungen immun sind, nur weil es keine offiziellen Sicherheitshinweise gibt? Da könnten Sie sich irren.

Lesen Sie den Beitrag
StationGuard Release 2.40
02. Oktober 2023

StationGuard 2.30 – Gesteigerte Effizienz für Ihr Intrusion Detection System

Mit StationGuard 2.30 sind Sie in der Lage, Ihre Arbeitsabläufe noch effizienter zu gestalten.

Lesen Sie den Beitrag
OMICRON Magazine: Security Assessment Findings
29. August 2023

Ergebnisse der Sicherheitsbewertung in Schaltanlagen

Unser Experte für Cybersicherheit, Ozan Dayanc, gibt Einblicke in die weltweiten Sicherheitsbewertungen von Umspannwerken.

Lesen Sie den Beitrag
Video: STW-Kempen
29. August 2023

Cyber Security von der Leitstelle bis zur Schaltanlage

Cyber Security von der Leitstelle bis zur Schaltanlage - die Stadtwerke Kempen bauen ein neues Schaltwerk zusammen mit OMICRON.

Lesen Sie den Beitrag
StationGuard Feature: Search In ZeroLine
18. August 2023

Funk­ti­ons­vor­schau: Ge­rä­te­su­che in Ze­ro­Li­ne

StationGuard hat eine neue Suchfunktion, die es einfach macht, alle Geräteinformationen in Ihrem Netzwerk zu finden.

Lesen Sie den Beitrag
StationGuard Feature: Automatic Device Classification
18. August 2023

Funktionsvorschau: Au­to­ma­ti­sche Ge­rä­te­klas­si­fi­ka­ti­on

StationGuard 2.30 enthält eine neue Funktion, die es einfacher denn je macht, Ihr OT-Netzwerk zu bewerten und zu sichern.

Lesen Sie den Beitrag