21 Glossar

Dieser Abschnitt definiert relevante Begriffe die immer wieder im gesamten System verwendet werden.

21.1 Benachrichtigung

Eine Benachrichtigung ist eine Aktion, die durch bestimmte Ereignisse ausgelöst werden kann. In den meisten Fällen bedeutet dies die Ausgabe einer Mitteilung, z. B. eine E-Mail bei neu gefundenen Schwachstellen.

21.2 Asset

Assets werden während eines Schwachstellenscans im Netzwerk entdeckt oder manuell vom Benutzer eingegeben. Aktuell enthalten Assets Hosts und Betriebssysteme.

21.3 CERT-Bund-Advisory

Ein Advisory, das vom CERT-Bund herausgegeben wird. Siehe https://www.cert-bund.de/about für weitere Informationen.

21.4 Compliance-Audit

Ein Compliance-Audit ist eine Scanaufgabe mit der Kennzeichnung Audit. Es wird genutzt, um die Erfüllung von Compliances zu prüfen.

21.5 Compliance-Richtlinie

Eine Compliance-Richtlinie ist eine Scan-Konfiguration mit der Kennzeichnung Richtlinie. Sie wird genutzt, um die Erfüllung von Compliances zu prüfen.

21.6 CPE

Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema für Systeme, Plattformen und Pakete der Informationstechnologie (IT). Basierend auf der allgemeinen Syntax für Uniform Resource Identifiers (URI), enthält CPE ein formales Namensformat, eine Sprache zum Beschreiben komplexer Plattformen, eine Methode zum Vergleichen von Namen mit einem System und ein Beschreibungsformat, um Texte und Tests an einen Namen zu binden.

Ein CPE-Name beginnt mit „cpe:/“, gefolgt von bis zu sieben Komponenten, die durch Doppelpunkte getrennt sind:

  • Part („h“ für Hardware, „o“ für Betriebssystem oder „a“ für Anwendung)
  • Vendor
  • Product
  • Version
  • Update
  • Edition
  • Language

Beispiel: cpe:/o:linux:kernel:2.6.0

21.7 CVE

Common Vulnerabilities and Exposures (CVE) ist ein Verzeichnis öffentlich bekannter Schwachstellen und Risiken in der Informationssicherheit.

21.8 CVSS

Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework zum Kennzeichnen von Schwachstellen.

21.9 DFN-CERT-Advisory

Ein Advisory, das vom DFN-CERT herausgegeben wird. Siehe https://www.dfn-cert.de/ für weitere Informationen.

21.10 Filter

Ein Filter beschreibt, wie eine bestimmte Teilmenge aus einer Gruppe von Ressourcen ausgewählt wird.

21.11 Gruppe

Eine Gruppe ist eine Sammlung von Benutzern.

21.12 Host

Ein Host ist ein einzelnes System, das mit einem Computernetzwerk verbunden ist und gescannt werden kann. Ein oder mehrere Hosts bilden die Basis eines Scanziels.

Ein Host ist auch ein Assettyp. Jeder gescannte oder gefundene Host kann in die Asset-Datenbank aufgenommen werden.

Hosts in Scanzielen und Scanberichten können mithilfe ihrer Netzwerkadresse (IP-Adresse oder Hostname) identifiziert werden.

In der Asset-Datenbank ist die Identifizierung unabhängig von der tatsächlichen Netzwerkadresse, welche dennoch als standardmäßige Identifikation genutzt wird.

21.13 Notiz

Eine Notiz ist ein Textkommentar in Verbindung mit einem VT. Notizen befinden sich in Berichten, unterhalb der Ergebnisse, die vom VT erzeugt wurden. Eine Notiz kann sich auf ein spezielles Objekt (Ergebnis, Aufgabe, Schweregrad, Port und/oder Host) beziehen, sodass die Notiz nur in bestimmten Berichten auftaucht.

21.14 Vulnerability Test (VT)

Ein Vulnerability Test (VT) ist eine Routine, die ein Zielsystem auf das Vorhandensein von konkreten bekannten und potentiellen Sicherheitsproblemen untersucht.

VTs sind in Familien aus ähnlichen VTs gruppiert. Die Auswahl der Familien und/oder einzelner VTs ist Teil der Scan-Konfiguration.

21.15 OVAL-Definition

Eine OVAL-Definition wird durch OVAL (Open Vulnerability and Assessment Language), Version 5.10.1, bestimmt. Sie kann für verschiedene Klassen von Sicherheitsdaten wie Schwachstellen, Patches oder Compliance-Richtlinien genutzt werden.

21.16 Übersteuerung

Eine Übersteuerung ist eine Regel zum Ändern des Schweregrads eines Elements innerhalb eines oder mehrerer Berichte.

Übersteuerungen sind inbesondere nützlich, um Elemente eines Berichts als Falschmeldungen (z. B. ein fehlerhaftes oder erwartetes Ergebnis) zu kennzeichnen oder um Elemente hervorzuheben, die im beobachteten Szenario einen höheren Schweregrad haben.

21.17 Berechtigung

Eine Berechtigung erteilt einem Benutzer, einer Rolle oder einer Gruppe das Recht eine bestimmte Aktion auszuführen.

21.18 Portliste

Eine Portliste ist eine Liste von Ports. Jedes Ziel wird mit einer Portliste verbunden. Diese bestimmt, welche Ports während eines Scans des Ziel untersucht werden.

21.19 Qualität der Erkennung (QdE)

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung. Der Wert von 70 % ist das standardmäßige Minimum, das für das Filtern der angezeigten Ergebnisse in den Berichten verwendet wird.

Für mehr Informationen über die QdE siehe Kapitel 11.2.6.

21.20 Remediation-Ticket

Remediation-Tickets werden genutzt, um Schwachstellen zu beseitigen. Tickets können dem aktuellen Benutzer oder anderen Benutzern zugewiesen werden. Alle nützlichen Informationen, um das Problem zu verstehen und zu lösen sind verknüpft und für den zugewiesenen Benutzer verfügbar.

Alle Tickets haben einen bestimmten Status (z. B. offen, behoben), um den Fortschritt zu überwachen.

Zusätzlich können Benachrichtigungen für bestimmte Ereignisse bezüglich Tickets, z. B. Statusänderungen zugewiesener Tickets, erstellt werden.

Das Ticketverwaltungssystem ist dazu in der Lage, automatisch die Wiederholung von Scans zu erwägen, um zu verifizieren, dass ein Problem gelöst wurde.

21.21 Bericht

Ein Bericht ist das Ergebnis eines Scans und enthält eine Zusammenfassung dessen, was die ausgewählten VTS für jeden der Zielhosts festgestellt haben.

Ein Bericht ist immer mit einer Aufgabe verknüpft. Die Scan-Konfiguration, die den Umfang des Berichts festlegt, ist Teil der verknüpften Aufgabe und kann nicht verändert werden. Daher ist für jeden Bericht sichergestellt, dass die ausführende Konfiguration erhalten wird und verfügbar ist.

21.22 Berichtformat

Ein Format, in dem ein Bericht heruntergeladen werden kann.

Ein Beispiel ist TXT, welches den Inhaltstyp „text/plain“ hat, was bedeutet, dass der Bericht ein einfaches Textdokument ist.

21.23 Ergebnis

Ein einzelnes Ergebnis, das vom Scanner als Teil des Berichts erzeugt wurde, z. B. eine Schwachstellenwarnung oder eine Log-Nachricht.

21.24 Rolle

Eine Rolle legt eine Menge von Berechtigungen fest, die einem Benutzer oder einer Gruppe zugewiesen werden können.

21.25 Scan

Ein Scan ist eine Aufgabe, die ausgeführt wird. Für jede Aufgabe kann jeweils nur ein Scan aktiv sein. Das Ergebnis ist ein Scanbericht.

Die Status aller aktiven Scans sind auf der Seite Aufgaben sichtbar.

Der Fortschritt wird als Prozentsatz der Gesamtanzahl aller auszuführenden Tests angezeigt. Die Dauer eines Scans wird aus der Anzahl von Zielen und der Komplexität der Scan-Konfiguration bestimmt und reicht von wenigen Minuten bis zu einigen Stunden oder sogar Tagen.

Die Seite Aufgaben bitet die Möglichkeit, einen Scan zu stoppen.

Falls ein gestoppter oder unterbrochener Scan fortgesetzt wird, werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.

21.26 Scanner

Ein Scanner ist ein OpenVAS-Scanner-Daemon oder ein kompatibler OSP-Daemon, auf dem der Scan läuft.

21.27 Scan-Konfiguration

Eine Scan-Konfiguration deckt die Auswahl an VTs sowie genereller und spezieller Parameter für den Scanserver und für einige der VTs ab.

Die Scan-Konfiguration beinhaltet nicht die Auswahl der Ziele.

21.28 Zeitplan

Ein Zeitplan legt fest, zu welcher Zeit eine Aufgabe automatisch starten soll, nach welcher Zeitspanne die Aufgabe automatisch wiederholt werden soll und/oder welche maximale Laufzeit eine Aufgaben haben darf.

21.29 Schweregrad

Der Schweregrad ist ein Wert zwischen 0.0 (kein Schweregrad) und 10.0 (höchster Schweregrad) und zeigt auch die Schweregradklasse (Log, Niedrig, Mittel oder Hoch).

Dieses Konzept basiert auf CVSS, aber wird auch in Fällen angewendet, in denen kein vollständiger CVSS-Basisvektor verfügbar ist. Beispielsweise werden beliebige Werte in diesem Bereich für Übersteuerungen angewendet und von OSP-Scannern genutzt, ohne dass es eine Vektordefinition gibt.

Der Vergleich, die Gewichtung und die Priorisierung aller Scanergebnisse oder VTs ist möglich, da das Schwachstellenkonzepts konsequent über das ganze System hinweg angewendet wird. Jedem neuen VT wird ein vollständiger CVSS-Vektor zugewiesen, selbst wenn CVE keinen zur Verfügung stellt und jedem Ergebnis von OSP-Scannern wird ein entsprechender Schweregrad zugeordnet, selbst wenn der Scanner ein anderes Schweregradschema nutzt.

Die Schweregradklassen Log, Niedrig, Mittel und Hoch werden als Unterbereiche des Hauptbereichs 0.0 – 10.0 definiert. Benutzer können festlegen, ob andere Klassifizierungen genutzt werden sollen. Standard ist die NVD-Klassifizierung, welche die am häufigsten gebrauchte ist.

Scanergebnissen, die gefunden werden, wird ein Schweregrad zugewiesen. Der Schweregrad des zugehörigen VTs ändert sich möglicherweise mit der Zeit. Falls Dynamischer Schweregrad in den Benutzereinstellungen ausgewählt wurde, nutzt das System immer den aktuellsten Schweregrad eines VTs für das Ergebnis.

21.30 Art der Lösung

Diese Information zeigt mögliche Lösungen für die Beseitigung einer Schwachstelle.

  • st_workaround Problemumgehung: Informationen über Konfigurationen oder Einsatzszenarien, die die Belastung durch die Schwachstelle vermeiden, sind verfügbar. Es können keine, eine oder mehrere Problemumgehungen verfügbar sein. Dies ist normalerweise die „erste Verteidigungslinie“ gegen neue Schwachstellen, bevor eine Schadensminderung oder Herstellerlösung entdeckt oder ausgegeben wurde.
  • st_mitigation Schadensminderung: Informationen über Konfigurationen oder Einsatzszenarien, die das Risiko der Schwachstelle reduzieren, sind verfügbar, was die Schwachstelle auf dem betroffenden Produkt allerdings nicht entfernt.
  • st_vendorfix Herstellerlösung: Informationen über einen offiziellen Fix des betroffenen Produkts durch den ursprünglichen Urheber, sind verfügbar. Sofern nicht anders vermerkt, wird angenommen, dass der Fix die Schwachstelle komplett beseitigt.
  • st_nonavailable Nicht verfügbar: Aktuell ist kein Fix verfügbar. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.
  • st_willnotfix Wird nicht gelöst: Es gibt keinen Fix für die Schwachstelle und es wird auch zukünftig keinen geben. Dies ist oft der Fall, wenn ein Produkt verwaist ist, nicht länger gewartet wird oder andersweitig überholt ist. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.

21.31 Tag

Ein Tag ist ein kleines Datenpaket, das aus einem Namen und einem Wert besteht und einer Ressource jeglicher Art hinzugefügt wird. Der Tag enthält vom Benutzer festgelegte Informationen zur Ressource.

21.32 Ziel

Ein Ziel definiert ein Set aus Systemen (Hosts), das gescannt wird. Die Systeme werden entweder durch ihre IP-Adresse, durch ihre Hostnamen oder mithilfe einer CIDR-Netzwerkschreibweise gekennzeichnet.

21.33 Aufgabe

Eine Aufgabe wird zunächst duch ein Ziel und eine Scan-Konfiguration gebildet. Das Ausführen der Aufgabe leitet den Scan ein. Jeder Scan erzeugt einen Bericht. Als Ergebnis sammelt eine Aufgabe eine Reihe von Berichten.

Das Ziel und die Scan-Konfiguration einer Aufgabe sind statisch. Deshalb beschreibt eine Folge von Berichten die Änderung des Sicherheitsstatus mit der Zeit. Dennoch kann eine Aufgabe als änderbar gekennzeichnet werden, falls es noch keine Berichte gibt. Für solch eine Aufgabe können das Ziel und die Scan-Konfiguration jederzeit geändert werden, was in bestimmten Situationen vorteilhaft sein kann.

Eine Container-Aufgabe ist eine Aufgabe mit der Funktion, importierte Berichte zu enthalten. Das Durchführen einer Container-Aufgabe ist nicht möglich.

21.34 TLS-Zertifikat

Ein TLS-Zertifikat (Transport-Layer-Security-Zertifikat) ist ein Zertifikat, das für die Authentifizierung genutzt wird, wenn eine durch TLS gesicherte Verbindung hergestellt wird.

Der Scanbericht enthält alle TLS-Zertifikate, die während eines Schwachstellenscans gesammelt werden.