21 Glossar#

Dieser Abschnitt definiert relevante Begriffe die immer wieder im gesamten System verwendet werden.

21.1 Benachrichtigung#

Eine Benachrichtigung ist eine Aktion, die durch bestimmte Ereignisse ausgelöst werden kann. In den meisten Fällen bedeutet dies die Ausgabe einer Mitteilung, z. B. eine E-Mail bei neu gefundenen Schwachstellen.

21.2 Asset#

Assets werden während eines Schwachstellenscans im Netzwerk entdeckt oder manuell vom Benutzer eingegeben. Aktuell enthalten Assets Hosts und Betriebssysteme.

21.3 CERT-Bund-Advisory#

Ein Advisory, das vom CERT-Bund herausgegeben wird. Siehe https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/cert-bund_node.html für weitere Informationen.

21.4 Compliance-Audit#

Ein Compliance-Audit ist eine Scanaufgabe mit der Kennzeichnung Audit. Es wird genutzt, um die Erfüllung von Compliances zu prüfen.

21.5 Compliance-Richtlinie#

Eine Compliance-Richtlinie ist eine Scan-Konfiguration mit der Kennzeichnung Richtlinie. Sie wird genutzt, um die Erfüllung von Compliances zu prüfen.

21.6 CPE#

Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema für Systeme, Plattformen und Pakete der Informationstechnologie (IT). Basierend auf der allgemeinen Syntax für Uniform Resource Identifiers (URI), enthält CPE ein formales Namensformat, eine Sprache zum Beschreiben komplexer Plattformen, eine Methode zum Vergleichen von Namen mit einem System und ein Beschreibungsformat, um Texte und Tests an einen Namen zu binden.

Ein CPE-Name beginnt mit „cpe:/“, gefolgt von bis zu sieben Komponenten, die durch Doppelpunkte getrennt sind:

  • Part („h“ für Hardware, „o“ für Betriebssystem oder „a“ für Anwendung)

  • Vendor

  • Product

  • Version

  • Update

  • Edition

  • Language

Beispiel: cpe:/o:linux:kernel:2.6.0

21.7 CVE#

Common Vulnerabilities and Exposures (CVE) ist ein Verzeichnis öffentlich bekannter Schwachstellen und Risiken in der Informationssicherheit.

21.8 CVSS#

Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework zum Kennzeichnen von Schwachstellen.

21.9 DFN-CERT-Advisory#

Ein Advisory, das vom DFN-CERT herausgegeben wird. Siehe https://www.dfn-cert.de/ für weitere Informationen.

21.10 Filter#

Ein Filter beschreibt, wie eine bestimmte Teilmenge aus einer Gruppe von Ressourcen ausgewählt wird.

21.11 Gruppe#

Eine Gruppe ist eine Sammlung von Benutzern.

21.12 Host#

Ein Host ist ein einzelnes System, das mit einem Computernetzwerk verbunden ist und gescannt werden kann. Ein oder mehrere Hosts bilden die Basis eines Scanziels.

Ein Host ist auch ein Assettyp. Jeder gescannte oder gefundene Host kann in die Asset-Datenbank aufgenommen werden.

Hosts in Scanzielen und Scanberichten können mithilfe ihrer Netzwerkadresse (IP-Adresse oder Hostname) identifiziert werden.

In der Asset-Datenbank ist die Identifizierung unabhängig von der tatsächlichen Netzwerkadresse, welche dennoch als standardmäßige Identifikation genutzt wird.

21.13 Notiz#

Eine Notiz ist ein Textkommentar in Verbindung mit einem VT. Notizen befinden sich in Berichten, unterhalb der Ergebnisse, die vom VT erzeugt wurden. Eine Notiz kann sich auf ein spezielles Objekt (Ergebnis, Aufgabe, Schweregrad, Port und/oder Host) beziehen, sodass die Notiz nur in bestimmten Berichten auftaucht.

21.14 Vulnerability Test (VT)#

Ein Vulnerability Test (VT) ist eine Routine, die ein Zielsystem auf das Vorhandensein von konkreten bekannten und potentiellen Sicherheitsproblemen untersucht.

VTs sind in Familien aus ähnlichen VTs gruppiert. Die Auswahl der Familien und/oder einzelner VTs ist Teil der Scan-Konfiguration.

21.15 Übersteuerung#

Eine Übersteuerung ist eine Regel zum Ändern des Schweregrads eines Elements innerhalb eines oder mehrerer Berichte.

Übersteuerungen sind insbesondere nützlich, um Elemente eines Berichts als Falschmeldungen (z. B. ein fehlerhaftes oder erwartetes Ergebnis) zu kennzeichnen oder um Elemente hervorzuheben, die im beobachteten Szenario einen höheren Schweregrad haben.

21.16 Berechtigung#

Eine Berechtigung erteilt einem Benutzer, einer Rolle oder einer Gruppe das Recht eine bestimmte Aktion auszuführen.

21.17 Portliste#

Eine Portliste ist eine Liste von Ports. Jedes Ziel wird mit einer Portliste verbunden. Diese bestimmt, welche Ports während eines Scans des Ziel untersucht werden.

21.18 Qualität der Erkennung (QdE)#

Die Qualität der Erkennung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung. Der Wert von 70 % ist das standardmäßige Minimum, das für das Filtern der angezeigten Ergebnisse in den Berichten verwendet wird.

Für mehr Informationen über die QdE siehe Kapitel 11.2.6.

21.19 Remediation-Ticket#

Remediation-Tickets werden genutzt, um Schwachstellen zu beseitigen. Tickets können dem aktuellen Benutzer oder anderen Benutzern zugewiesen werden. Alle nützlichen Informationen, um das Problem zu verstehen und zu lösen sind verknüpft und für den zugewiesenen Benutzer verfügbar.

Alle Tickets haben einen bestimmten Status (z. B. offen, behoben), um den Fortschritt zu überwachen.

Zusätzlich können Benachrichtigungen für bestimmte Ereignisse bezüglich Tickets, z. B. Statusänderungen zugewiesener Tickets, erstellt werden.

Das Ticketverwaltungssystem ist dazu in der Lage, automatisch die Wiederholung von Scans zu erwägen, um zu verifizieren, dass ein Problem gelöst wurde.

21.20 Bericht#

Ein Bericht ist das Ergebnis eines Scans und enthält eine Zusammenfassung dessen, was die ausgewählten VTS für jeden der Zielhosts festgestellt haben.

Ein Bericht ist immer mit einer Aufgabe verknüpft. Die Scan-Konfiguration, die den Umfang des Berichts festlegt, ist Teil der verknüpften Aufgabe und kann nicht verändert werden. Daher ist für jeden Bericht sichergestellt, dass die ausführende Konfiguration erhalten wird und verfügbar ist.

21.21 Berichtformat#

Ein Format, in dem ein Bericht heruntergeladen werden kann.

Ein Beispiel ist TXT, welches den Inhaltstyp „text/plain“ hat, was bedeutet, dass der Bericht ein einfaches Textdokument ist.

21.22 Ergebnis#

Ein einzelnes Ergebnis, das vom Scanner als Teil des Berichts erzeugt wurde, z. B. eine Schwachstellenwarnung oder eine Log-Nachricht.

21.23 Rolle#

Eine Rolle legt eine Menge von Berechtigungen fest, die einem Benutzer oder einer Gruppe zugewiesen werden können.

21.24 Scan#

Ein Scan ist eine Aufgabe, die ausgeführt wird. Für jede Aufgabe kann jeweils nur ein Scan aktiv sein. Das Ergebnis ist ein Scanbericht.

Die Status aller aktiven Scans sind auf der Seite Aufgaben sichtbar.

Der Fortschritt wird als Prozentsatz der Gesamtanzahl aller auszuführenden Tests angezeigt. Die Dauer eines Scans wird aus der Anzahl von Zielen und der Komplexität der Scan-Konfiguration bestimmt und reicht von wenigen Minuten bis zu einigen Stunden oder sogar Tagen.

Die Seite Aufgaben bitet die Möglichkeit, einen Scan zu stoppen.

Falls ein gestoppter oder unterbrochener Scan fortgesetzt wird, werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.

21.25 Scanner#

Ein Scanner ist ein OpenVAS-Scanner-Daemon oder ein kompatibler OSP-Daemon, auf dem der Scan läuft.

21.26 Scan-Konfiguration#

Eine Scan-Konfiguration deckt die Auswahl an VTs sowie genereller und spezieller Parameter für den Scanserver und für einige der VTs ab.

Die Scan-Konfiguration beinhaltet nicht die Auswahl der Ziele.

21.27 Zeitplan#

Ein Zeitplan legt fest, zu welcher Zeit eine Aufgabe automatisch starten soll, nach welcher Zeitspanne die Aufgabe automatisch wiederholt werden soll und/oder welche maximale Laufzeit eine Aufgaben haben darf.

21.28 Schweregrad#

Der Schweregrad ist ein Wert zwischen 0.0 (kein Schweregrad) und 10.0 (höchster Schweregrad) und zeigt auch die Schweregradklasse (Log, Niedrig, Mittel oder Hoch).

Dieses Konzept basiert auf CVSS, aber wird auch in Fällen angewendet, in denen kein vollständiger CVSS-Basisvektor verfügbar ist.

Der Vergleich, die Gewichtung und die Priorisierung aller Scanergebnisse oder VTs ist möglich, da das Schwachstellenkonzepts konsequent über das ganze System hinweg angewendet wird. Jedem neuen VT wird ein vollständiger CVSS-Vektor zugewiesen, selbst wenn die CVE keinen zur Verfügung stellt.

Die Schweregradklassen Log, Niedrig, Mittel und Hoch werden als Unterbereiche des Hauptbereichs 0.0 – 10.0 definiert. Benutzer können festlegen, ob andere Klassifizierungen genutzt werden sollen. Standard ist die NVD-Klassifizierung, welche die am häufigsten gebrauchte ist.

Scanergebnissen, die gefunden werden, wird ein Schweregrad zugewiesen. Der Schweregrad des zugehörigen VTs ändert sich möglicherweise mit der Zeit. Falls Dynamischer Schweregrad in den Benutzereinstellungen ausgewählt wurde, nutzt das System immer den aktuellsten Schweregrad eines VTs für das Ergebnis.

21.29 Art der Lösung#

Diese Information zeigt mögliche Lösungen für die Beseitigung einer Schwachstelle.

  • st_workaround Problemumgehung: Informationen über Konfigurationen oder Einsatzszenarien, die die Belastung durch die Schwachstelle vermeiden, sind verfügbar. Es können keine, eine oder mehrere Problemumgehungen verfügbar sein. Dies ist normalerweise die „erste Verteidigungslinie“ gegen neue Schwachstellen, bevor eine Schadensminderung oder Herstellerlösung entdeckt oder ausgegeben wurde.

  • st_mitigation Schadensminderung: Informationen über Konfigurationen oder Einsatzszenarien, die das Risiko der Schwachstelle reduzieren, sind verfügbar, was die Schwachstelle auf dem betroffenden Produkt allerdings nicht entfernt.

  • st_vendorfix Herstellerlösung: Informationen über einen offiziellen Fix des betroffenen Produkts durch den ursprünglichen Urheber, sind verfügbar. Sofern nicht anders vermerkt, wird angenommen, dass der Fix die Schwachstelle komplett beseitigt.

  • st_nonavailable Nicht verfügbar: Aktuell ist kein Fix verfügbar. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.

  • st_willnotfix Wird nicht gelöst: Es gibt keinen Fix für die Schwachstelle und es wird auch zukünftig keinen geben. Dies ist oft der Fall, wenn ein Produkt verwaist ist, nicht länger gewartet wird oder andersweitig überholt ist. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.

21.30 Tag#

Ein Tag ist ein kleines Datenpaket, das aus einem Namen und einem Wert besteht und einer Ressource jeglicher Art hinzugefügt wird. Der Tag enthält vom Benutzer festgelegte Informationen zur Ressource.

21.31 Ziel#

Ein Ziel definiert ein Set aus Systemen (Hosts), das gescannt wird. Die Systeme werden entweder durch ihre IP-Adresse, durch ihre Hostnamen oder mithilfe einer CIDR-Netzwerkschreibweise gekennzeichnet.

21.32 Aufgabe#

Eine Aufgabe wird zunächst duch ein Ziel und eine Scan-Konfiguration gebildet. Das Ausführen der Aufgabe leitet den Scan ein. Jeder Scan erzeugt einen Bericht. Als Ergebnis sammelt eine Aufgabe eine Reihe von Berichten.

Das Ziel und die Scan-Konfiguration einer Aufgabe sind statisch. Deshalb beschreibt eine Folge von Berichten die Änderung des Sicherheitsstatus mit der Zeit. Dennoch kann eine Aufgabe als änderbar gekennzeichnet werden, falls es noch keine Berichte gibt. Für solch eine Aufgabe können das Ziel und die Scan-Konfiguration jederzeit geändert werden, was in bestimmten Situationen vorteilhaft sein kann.

Eine Container-Aufgabe ist eine Aufgabe mit der Funktion, importierte Berichte zu enthalten. Das Durchführen einer Container-Aufgabe ist nicht möglich.

21.33 TLS-Zertifikat#

Ein TLS-Zertifikat (Transport-Layer-Security-Zertifikat) ist ein Zertifikat, das für die Authentifizierung genutzt wird, wenn eine durch TLS gesicherte Verbindung hergestellt wird.

Der Scanbericht enthält alle TLS-Zertifikate, die während eines Schwachstellenscans gesammelt werden.