21. Glossar¶
Dieser Abschnitt definiert relevante Begriffe die immer wieder im gesamten System verwendet werden.
21.1. Benachrichtigung¶
Eine Benachrichtigung ist eine Aktion, die durch bestimmte Ereignisse ausgelöst werden kann. In den meisten Fällen bedeutet dies die Ausgabe einer Mitteilung, z. B. eine E-Mail bei neu gefundenen Schwachstellen.
21.2. Asset¶
Assets werden während eines Schwachstellenscans im Netzwerk entdeckt oder manuell vom Benutzer eingegeben. Aktuell enthalten Assets Hosts und Betriebssysteme.
21.3. CERT-Bund-Advisory¶
Ein Advisory, das vom CERT-Bund herausgegeben wird. Siehe https://www.cert-bund.de/about für weitere Informationen.
21.4. CPE¶
Common Platform Enumeration (CPE) ist ein strukturiertes Benennungsschema für Systeme, Plattformen und Pakete der Informationstechnologie (IT). Basierend auf der allgemeinen Syntax für Uniform Resource Identifiers (URI), enthält CPE ein formales Namensformat, eine Sprache zum Beschreiben komplexer Plattformen, eine Methode zum Vergleichen von Namen mit einem System und ein Beschreibungsformat, um Texte und Tests an einen Namen zu binden.
Ein CPE-Name beginnt mit „cpe:/“, gefolgt von bis zu sieben Komponenten, die durch Doppelpunkte getrennt sind:
- Part („h“ für Hardware, „o“ für Betriebssystem oder „a“ für Anwendung)
- Vendor
- Product
- Version
- Update
- Edition
- Language
Beispiel: cpe:/o:linux:kernel:2.6.0
21.5. CVE¶
Common Vulnerabilities and Exposures (CVE) ist ein Verzeichnis öffentlich bekannter Schwachstellen und Risiken in der Informationssicherheit.
21.6. CVSS¶
Das Common Vulnerability Scoring System (CVSS) ist ein offenes Framework zum Kennzeichnen von Schwachstellen.
21.7. DFN-CERT-Advisory¶
Ein Advisory, das vom DFN-CERT herausgegeben wird. Siehe https://www.dfn-cert.de/ für weitere Informationen.
21.8. Filter¶
Ein Filter beschreibt, wie eine bestimmte Teilmenge aus einer Gruppe von Ressourcen ausgewählt wird.
21.9. Gruppe¶
Eine Gruppe ist eine Sammlung von Benutzern.
21.10. Host¶
Ein Host ist ein einzelnes System, das mit einem Computernetzwerk verbunden ist und gescannt werden kann. Ein oder mehrere Hosts bilden die Basis eines Scanziels.
Ein Host ist auch ein Assettyp. Jeder gescannte oder gefundene Host kann in die Asset-Datenbank aufgenommen werden.
Hosts in Scanzielen und Scanberichten können mithilfe ihrer Netzwerkadresse (IP-Adresse oder Hostname) identifiziert werden.
In der Asset-Datenbank ist die Identifizierung unabhängig von der tatsächlichen Netzwerkadresse, welche dennoch als standardmäßige Identifikation genutzt wird.
21.11. Notiz¶
Eine Notiz ist ein Textkommentar in Verbindung mit einem NVT. Notizen befinden sich in Berichten, unterhalb der Ergebnisse, die vom NVT erzeugt wurden. Eine Notiz kann sich auf ein spezielles Objekt (Ergebnis, Aufgabe, Schweregrad, Port und/oder Host) beziehen, sodass die Notiz nur in bestimmten Berichten auftaucht.
21.12. Network Vulnerability Test (NVT)¶
Ein Network Vulnerability Test (NVT) ist eine Routine, die ein Zielsystem auf das Vorhandensein von konkreten bekannten und potentiellen Sicherheitsproblemen untersucht.
NVTs sind in Familien aus ähnlichen NVTs gruppiert. Die Auswahl der Familien und/oder einzelner NVTs ist Teil der Scan-Konfiguration.
21.13. OVAL-Definition¶
Eine OVAL-Definition wird durch OVAL (Open Vulnerability and Assessment Language), Version 5.10.1, bestimmt. Sie kann für verschiedene Klassen von Sicherheitsdaten wie Schwachstellen, Patches oder Compliance-Richtlinien genutzt werden.
21.14. Übersteuerung¶
Eine Übersteuerung ist eine Regel zum Ändern des Schweregrads eines Elements innerhalb eines oder mehrerer Berichte.
Übersteuerungen sind insbesondere nützlich, um Elemente eines Berichts als Falschmeldungen (z. B. ein fehlerhaftes oder erwartetes Ergebnis) zu kennzeichnen oder um Elemente hervorzuheben, die im beobachteten Szenario einen höheren Schweregrad haben.
21.15. Berechtigung¶
Eine Berechtigung erteilt einem Benutzer, einer Rolle oder einer Gruppe das Recht eine bestimmte Aktion auszuführen.
21.16. Portliste¶
Eine Portliste ist eine Liste von Ports. Jedes Ziel wird mit einer Portliste verbunden. Diese bestimmt, welche Ports während eines Scans des Ziel untersucht werden.
21.17. Qualität der Entdeckung (QdE)¶
Die Qualität der Entdeckung (QdE) ist ein Wert zwischen 0 % und 100 % und beschreibt die Zuverlässigkeit der ausgeführten Schwachstellen- oder Produkterkennung.
Obwohl der QdE-Bereich es erlaubt, die Qualität detailgenau darzustellen, nutzen die meisten Prüfroutinen eine Standardvorgehensweise. Deshalb werden den QdE-Werten QdE-Typen zugewiesen.
| QdE | QdE-Typ | Beschreibung |
|---|---|---|
| 100% | exploit | Die Erkennung erfolgte durch die Ausnutzung einer Sicherheitslücke und ist daher vollständig bestätigt. |
| 99% | remote_vul | Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der Schwachstelle zeigt. |
| 98% | remote_app | Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort eindeutig das Vorhandensein der gefährdeten Anwendung zeigt. |
| 97% | package | Authentifizierte paketbasierte Prüfungen für Linux(oide) Systeme. |
| 97% | registry | Authentifizierte Prüfungen auf Basis der Registry von Microsoft Windows. |
| 95% | remote_active | Aktive Prüfung auf dem Zielsystem (Codeausführung, Traversal-Angriff, SQL-Einschleusung etc.), bei welcher die Antwort das wahrscheinliche Vorhandensein der gefährdeten Anwendung oder der Schwachstelle zeigt. „Wahrscheinlich“ bedeutet, dass die Erkennung nur in seltenen Fällen inkorrekt ist. |
| 80% | remote_banner | Prüfung von Anwendungsbannern auf dem Zielsystem, die den Patch-Status als Information anbieten. Zum Beispiel ist dies für viele proprietäre Produkte der Fall. |
| 80% | executable_version | Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) und Microsoft Windows Systeme, bei denen Anwendungen den Patch-Status in der Version anbieten. |
| 75% | Während der Systemmigration wurde dieser Wert jedem Ergebnis zugeordnet, das vor der Einführung von QdE gewonnen wurde. Trotzdem haben einige NVTs möglicherweise aus anderem Grund diesen Wert. | |
| 70% | remote_analysis | Prüfung auf dem Zielsystem, bei welcher Analysen durchführt werden, die nicht vollständig zuverlässig sind. |
| 50% | remote_probe | Prüfung auf dem Zielsystem, bei welcher zwischenliegende Systeme wie Firewalls die korrekte Erkennung vortäuschen können, sodass nicht eindeutig ist, ob die Anwendung selbst geantwortet hat. Zum Beispiel kann dies für Verbindungen ohne TLS geschehen. |
| 30% | remote_banner_unreliable | Prüfung von Anwendungsbannern des Zielsystems, die den Patch-Status nicht als Information anbieten. Zum Beispiel ist dies für viele Open-Source-Produkte aufgrund von Backport-Patches der Fall. |
| 30% | executable_version_unreliable | Authentifizierte Versionsprüfung über eine ausführbare Datei für Linux(oide) Systeme, bei denen Anwendungen den Patch-Status nicht in der Version anbieten. |
| 1% | general_note | Allgemeine Notiz zu einer potentiellen Schwachstelle ohne konkrete Erkennung einer vorhandenen Anwendung. |
Ein Wert von 70 % ist das standardmäßige Minimum, das für das Filtern der dargestellten Ergebnisse eines Berichts genutzt wird.
21.18. Remediation-Ticket¶
Remediation-Tickets werden genutzt, um Schwachstellen zu beseitigen. Tickets können dem aktuellen Benutzer oder anderen Benutzern zugewiesen werden. Alle nützlichen Informationen, um das Problem zu verstehen und zu lösen sind verknüpft und für den zugewiesenen Benutzer verfügbar.
Alle Tickets haben einen bestimmten Status (z. B. offen, behoben), um den Fortschritt zu überwachen.
Zusätzlich können Benachrichtigungen für bestimmte Ereignisse bezüglich Tickets, z. B. Statusänderungen zugewiesener Tickets, erstellt werden.
Das Ticketverwaltungssystem ist dazu in der Lage, automatisch die Wiederholung von Scans zu erwägen, um zu verifizieren, dass ein Problem gelöst wurde.
21.19. Bericht¶
Ein Bericht ist das Ergebnis eines Scans und enthält eine Zusammenfassung dessen, was die ausgewählten NVTS für jeden der Zielhosts festgestellt haben.
Ein Bericht ist immer mit einer Aufgabe verknüpft. Die Scan-Konfiguration, die den Umfang des Berichts festlegt, ist Teil der verknüpften Aufgabe und kann nicht verändert werden. Daher ist für jeden Bericht sichergestellt, dass die ausführende Konfiguration erhalten wird und verfügbar ist.
21.20. Berichtformat¶
Ein Format, in dem ein Bericht heruntergeladen werden kann.
Ein Beispiel ist TXT, welches den Inhaltstyp „text/plain“ hat, was bedeutet, dass der Bericht ein einfaches Textdokument ist.
21.21. Ergebnis¶
Ein einzelnes Ergebnis, das vom Scanner als Teil des Berichts erzeugt wurde, z. B. eine Schwachstellenwarnung oder eine Log-Nachricht.
21.22. Rolle¶
Eine Rolle legt eine Menge von Berechtigungen fest, die einem Benutzer oder einer Gruppe zugewiesen werden können.
21.23. Scan¶
Ein Scan ist eine Aufgabe, die ausgeführt wird. Für jede Aufgabe kann jeweils nur ein Scan aktiv sein. Das Ergebnis ist ein Scanbericht.
Die Status aller aktiven Scans sind auf der Seite Aufgaben sichtbar.
Der Fortschritt wird als Prozentsatz der Gesamtanzahl aller auszuführenden Tests angezeigt. Die Dauer eines Scans wird aus der Anzahl von Zielen und der Komplexität der Scan-Konfiguration bestimmt und reicht von wenigen Minuten bis zu einigen Stunden oder sogar Tagen.
Die Seite Aufgaben bitet die Möglichkeit, einen Scan zu stoppen.
Falls ein gestoppter oder unterbrochener Scan fortgesetzt wird, werden alle nicht abgeschlossenen Hosts komplett aufs Neue gescannt. Die Daten der bereits vollständig gescannten Hosts bleiben erhalten.
21.24. Scanner¶
Ein Scanner ist ein OpenVAS-Scanner-Daemon oder ein kompatibler OSP-Daemon, auf dem der Scan läuft.
21.25. Scan-Konfiguration¶
Eine Scan-Konfiguration deckt die Auswahl an NVTs sowie genereller und spezieller Parameter für den Scanserver und für einige der NVTs ab.
Die Scan-Konfiguration beinhaltet nicht die Auswahl der Ziele.
21.26. Zeitplan¶
Ein Zeitplan legt fest, zu welcher Zeit eine Aufgabe automatisch starten soll, nach welcher Zeitspanne die Aufgabe automatisch wiederholt werden soll und/oder welche maximale Laufzeit eine Aufgaben haben darf.
21.27. Schweregrad¶
Der Schweregrad ist ein Wert zwischen 0.0 (kein Schweregrad) und 10.0 (höchster Schweregrad) und zeigt auch die Schweregradklasse (Log, Niedrig, Mittel oder Hoch).
Dieses Konzept basiert auf CVSS, aber wird auch in Fällen angewendet, in denen kein vollständiger CVSS-Basisvektor verfügbar ist. Beispielsweise werden beliebige Werte in diesem Bereich für Übersteuerungen angewendet und von OSP-Scannern genutzt, ohne dass es eine Vektordefinition gibt.
Der Vergleich, die Gewichtung und die Priorisierung aller Scanergebnisse oder NVTs ist möglich, da das Schwachstellenkonzepts konsequent über das ganze System hinweg angewendet wird. Jedem neuen NVT wird ein vollständiger CVSS-Vektor zugewiesen, selbst wenn CVE keinen zur Verfügung stellt und jedem Ergebnis von OSP-Scannern wird ein entsprechender Schweregrad zugeordnet, selbst wenn der Scanner ein anderes Schweregradschema nutzt.
Die Schweregradklassen Log, Niedrig, Mittel und Hoch werden als Unterbereiche des Hauptbereichs 0.0 – 10.0 definiert. Benutzer können festlegen, ob andere Klassifizierungen genutzt werden sollen. Standard ist die NVD-Klassifizierung, welche die am häufigsten gebrauchte ist.
Scanergebnissen, die gefunden werden, wird ein Schweregrad zugewiesen. Der Schweregrad des zugehörigen NVTs ändert sich möglicherweise mit der Zeit. Falls Dynamischer Schweregrad in den Benutzereinstellungen ausgewählt wurde, nutzt das System immer den aktuellsten Schweregrad eines NVTs für das Ergebnis.
21.28. Art der Lösung¶
Diese Information zeigt mögliche Lösungen für die Beseitigung einer Schwachstelle.
Problemumgehung: Informationen über Konfigurationen oder Einsatzszenarien, die die Belastung durch die Schwachstelle vermeiden, sind verfügbar. Es können keine, eine oder mehrere Problemumgehungen verfügbar sein. Dies ist normalerweise die „erste Verteidigungslinie“ gegen neue Schwachstellen, bevor eine Schadensminderung oder Herstellerlösung entdeckt oder ausgegeben wurde.
Schadensminderung: Informationen über Konfigurationen oder Einsatzszenarien, die das Risiko der Schwachstelle reduzieren, sind verfügbar, was die Schwachstelle auf dem betroffenden Produkt nicht allerdings entfernt.
Herstellerlösung: Informationen über einen offiziellen Fix des betroffenen Produkts durch den ursprünglichen Urheber, sind verfügbar. Sofern nicht anders vermerkt, wird angenommen, dass der Fix die Schwachstelle komplett beseitigt.
Nicht verfügbar: Aktuell ist kein Fix verfügbar. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.
Wird nicht gelöst: Es gibt keinen Fix für die Schwachstelle und es wird auch zukünftig keinen geben. Dies ist oft der Fall, wenn ein Produkt verwaist ist, nicht länger gewartet wird oder andersweitig überholt ist. Informationen sollten Details darüber enthalten, weshalb dies der Fall ist.
21.29. Tag¶
Ein Tag ist ein kleines Datenpaket, das aus einem Namen und einem Wert besteht und einer Ressource jeglicher Art hinzugefügt wird. Der Tag enthält vom Benutzer festgelegte Informationen zur Ressource.
21.30. Ziel¶
Ein Ziel definiert ein Set aus Systemen (Hosts), das gescannt wird. Die Systeme werden entweder durch ihre IP-Adresse, durch ihre Hostnamen oder mithilfe einer CIDR-Netzwerkschreibweise gekennzeichnet.
21.31. Aufgabe¶
Eine Aufgabe wird zunächst duch ein Ziel und eine Scan-Konfiguration gebildet. Das Ausführen der Aufgabe leitet den Scan ein. Jeder Scan erzeugt einen Bericht. Als Ergebnis sammelt eine Aufgabe eine Reihe von Berichten.
Das Ziel und die Scan-Konfiguration einer Aufgabe sind statisch. Deshalb beschreibt eine Folge von Berichten die Änderung des Sicherheitsstatus mit der Zeit. Dennoch kann eine Aufgabe als änderbar gekennzeichnet werden, falls es noch keine Berichte gibt. Für solch eine Aufgabe können das Ziel und die Scan-Konfiguration jederzeit geändert werden, was in bestimmten Situationen vorteilhaft sein kann.
Eine Container-Aufgabe ist eine Aufgabe mit der Funktion, importierte Berichte zu enthalten. Das Durchführen einer Container-Aufgabe ist nicht möglich.