Schwachstellen-Datenbank von Wiz

Wird das die Alternative zu CVE?

Die CVE-Datenbank von MITRE steht in der Kritik, da viele Cloud-Schwachstellen fehlen. Eine Alternative könnte das Community-Projekt Open CVDB von Wiz sein.
Von 
CSO | 12. Juli 2022 15:00 Uhr
Mithilfe von Crowdsourcing will Wiz eine Datenbank schaffen, die alle Cloud-Sicherheitslücken erfasst.
Mithilfe von Crowdsourcing will Wiz eine Datenbank schaffen, die alle Cloud-Sicherheitslücken erfasst.
Foto: iomis - shutterstock.com

Das Cloud-Sicherheitsunternehmen Wiz will mit der "Open Cloud Vulnerability & Security Issue Database" eine zentralisierte Datenbank für Cloud-Schwachstellen schaffen. Sie soll alle Sicherheitslücken beinhalten, die das CVE-Schwachstellensystem von MITRE nicht erfasst. Sicherheitsexperten sind sich jedoch sicher, dass das Wiz-Projekt eine stake Unterstützung der Security-Branche benötigen wird, um erfolgreich zu sein.

Shared Responsibility hat Lücken

Wie die Projektverantwortlichen der Open CVDB schreiben, gebe es derzeit keinen universellen Standard für die Aufzählung von Cloud-Computing-Schwachstellen. Und auch Cloud Service Provider (CSPs) würden nur selten CVEs für Sicherheitsfehler herausgeben, die in ihren Diensten entdeckt wurden.

Einen weiteren Grund, warum Wiz die Notwendigkeit für die Cloud Vulnerability Database sieht, liegt an Lücken im Shared-Responsibility-Modell. Dieses besagt nämlich, dass sowohl der Cloud Provider wie auch der Kunde für die Datensicherheit in der Cloud verantwortlich seien. Der Provider sei zuständig für die physische Sicherheit, einschließlich der Hardware im Rechenzentrum und der verwalteten Dienste. Hingegen sei der Kunde verantwortlich für die Sicherheit der Software, den Schutz der digitalen Identitäten, die die Dienste nutzen, und die Einhaltung der Datenschutzvorgaben. In einem Blog-Beitrag kritisiert Wiz, dass in dem Modell Schwachstellen außen vor bleiben, für die keine der beiden Parteien eindeutig verantwortlich ist.

Der Hersteller möchte deshalb eine zentrale Anlaufstelle schaffen und Unternehmen Schritte aufzeigen, wie sie Probleme mit der Sicherheit in ihrer Cloud-Umgebung erkennen und verhindern können.

Open CVDB: Ein Community-Projekt

"Die Veröffentlichung der Cloud Vulnerability Database ist ein erster Schritt auf einem langen Weg. Dabei wollen wir uns wirklich auf die Community-Aspekte der Webseite konzentrieren", sagt Amitai Cohen, Threat Researcher bei Wiz und Co-Autor des Blogs. "Wir denken, dass diese Website die erste ihrer Art ist und hoffen, dass mit der Zeit weitere Beiträge und Teilhaber hinzukommen werden. Außerdem planen wir, der Webseite weitere Funktionen hinzuzufügen, wie zum Beispiel die Verknüpfung mit anderen Systemen, sei es durch Hinzufügen einer API oder eines RSS-Feeds."

Die Datenbank von Wiz beinhaltet bisher 70 Schwachstellen, die alle ursprünglich aus dem GitHub-Repository von Scott Piper, dem Co-Betreiber der Open CVDB, stammen. Das Ziel von Wiz ist es, die Datenbank mit allen öffentlichen Beiträgen zu erweitern. Besucher der Webseite sollen die Möglichkeit haben, eine neue Datei hinzuzufügen und bestehende zu bearbeiten. Darüber hinaus sollen weitere passende GitHub-Beiträge automatisch in die Datenbank gezogen werden.

"Ich freue mich zu sehen, wie sich die Liste der Sicherheitsfehler in Cloud-Diensten, die ich als Liste in einem GitHub-Repo gepflegt habe, in eine Community-gesteuerte und einfacher zu konsumierende Webseite verwandelt hat", schrieb Piper in einem Tweet. "Vom ersten Tag an wünschten sich die Leute einfacher suchen, sortieren und filtern zu können, und das wird jetzt möglich."

"Die Datenbank für Cloud-Schwachstellen ist zwar ein dringend notwendiger Schritt in die richtige Richtung, aber wenn er nicht vollständig institutionalisiert und angenommen wird, wird er auf lange Sicht nicht erfolgreich sein", mahnt indes Gary McAlum, Senior Analyst bei TAG Cyber. Die automatische Ableitung von GitHub sei "ein nettes Feature und sollte die meisten Cloud-Schwachstellen durch Community-Reporting berücksichtigen".

Kritik am CVE-System

Um zu wissen, was genau dem CVE-System fehlt, muss man verstehen, wie es funktioniert. Das CVE-System ist eine Liste von Einträgen, die von MITRE mit Mitteln der US-Abteilung für Heimatschutz verwaltet werden. Jede Common Vulnerability and Exposure hat eine Identifikationsnummer sowie eine Beschreibung über anfällige Softwareversionen und ihre Problembehebung. Sie können als Identifikatoren für Sicherheitslücken betrachtet werden, die bereits öffentlich sind oder voraussichtlich öffentlich werden.

Allerdings können die CVEs nur von offiziellen Nummerierungsstellen, den CVE Numbering Authorities (CNAs), vergeben werden. Zu ihnen gehören Softwareanbieter, Open-Source-Projektgruppen und Forschungsgruppen. Anschließend werden die CVEs in der MITRE-Datenbank veröffentlicht, die die Verfolgung und Behebung dieser Schwachstellen für die Öffentlichkeit möglich macht.

"Das aktuelle CVE-System enthält noch keine umfassende Liste von Schwachstellen in allen Cloud-Umgebungen", sagt McAlum. "Cloud Service Provider geben ihre eigenen Patches heraus, die im Allgemeinen nicht im CVE-System erfasst werden. Dies führt dazu, dass Sicherheitsteams ihre eigenen Methoden entwickeln müssen, um die Cloud-Probleme, die sie betreffen, zu verfolgen und zu beheben. Dieser Ansatz ist umständlich, manuell und anfällig für Ausfälle und blinde Flecken."

Cloud-Schwachstellen bleiben außen vor

Laut einem Web-Beitrag der Cloud Security Alliance (CSA) enthalten die Kriterien, die bei der Zuweisung einer ID zu einer Schwachstelle strikt befolgt werden, eine Regel, die für Cloud-basierte Dienste besonders problematisch ist. Die Regel INC3 besagt, dass einer Schwachstelle nur dann eine CVE-ID zugewiesen werden sollte, wenn sie vom Kunden gesteuert oder vom Kunden installiert werden kann. Beispielsweise erfüllt ein Fehler in einer CRM-Anwendung, die auf einem Unternehmensserver installiert ist, diese Anforderung und erhält eine ID.

Allerdings verhindert diese Regel dass Schwachstellen in Cloud-Diensten CVE-IDs zugewiesen werden können. Dies betrifft all solche Lücken in Systemen, die nicht vom Kunden gesteuert werden oder von der gemeinsamen Steuerung mit dem CSP abhängen. Ohne eine ID können die Informationen zur Problembehebung, zu betroffenen Versionen, Referenzen und Patches nicht zentral verteilt werden.

Zusammenarbeit mit MITRE

Während eine Anpassung der INC3-Regel eine langfristige Angelegenheit sein dürfte, hat Wiz mit der Open CVDB eine unmittelbare Lösung gefunden. "Wir haben bereits in der Vergangenheit mit MITRE zusammengearbeitet und das Problem, welches wir in der CVE-Datenbank bezüglich der Cloud-Schwachstellen sehen, kommuniziert", sagt Alon Schindel, Director of Data and Threat Research bei Wiz. "MITRE hat darauf positiv reagiert und scheint das Problem anzuerkennen. Eine Anpassung der Datenbank in der Praxis erfordert jedoch mehr Zeit sowie die Mitarbeit der Security-Community." Wiz plane ein Folgetreffen mit MITRE, um die Open CVDB weiter zu besprechen.

Cloud-Anbieter zur Verantwortung ziehen

McAlum betont, dass das Mitwirken der Cloud Provider ein kritischer Erfolgsfaktor ist, um zu ermöglichen, dass die Datenbank von Wiz sowohl aktuell wie auch verifiziert ist. Chris Steffen, Research Director beim Analystenhaus Enterprise Management Associates, stimmt dem zu: "Der Schlüssel zum Erfolg der Open CVDB besteht aus zwei Teilen. Zum einen die Aufnahme relevanter Schwachstellen, die nicht bereits durch eine der anderen Hauptquellen wie MITRE abgedeckt sind. Und zum anderen die Zusammenarbeit mit den CSPs zur Validierung und Behebung vorgeschlagener Cloud-CVEs."

Steffen will die Cloud-Anbieter sogar noch stärker zur Verantwortung ziehen: "Zwar sind die meisten sicherheitsbezogenen Probleme in der Cloud im Allgemeinen das Ergebnis einer Fehlkonfiguration durch den Endbenutzer oder eines Missverständnisses des Modells der gemeinsamen Verantwortung, doch auch die Cloud-Anbieter sind nicht unfehlbar." Er wünsche sich eine Cloud-Schwachstellendatenbank, die die CSPs für Sicherheitsprobleme in ihren Umgebungen verantwortlich mache.

Schindel kann die Befürchtungen der Branchenexperten nachvollziehen und sagt, er verstehe, dass die neue Cloud-Schwachstellendatenbank Herausforderungen mit sich bringe. Er fügt hinzu, dass Wiz gute Beziehungen zu mehreren Cloud Service Providern habe und daran arbeite, mit ihnen gemeinsam die Webseite zu stärken. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Shweta schreibt für unsere US-Schwesterpublikation CSO Online.