Schwachstellenpriorisierung: Mehr als nur CVSS-Werte

Warum CVSS allein scheitert

CVSS misst die inhärente Schwere einer Schwachstelle – wie schlimm es im schlimmsten Fall sein könnte. Es misst nicht, wie wahrscheinlich eine Ausnutzung ist, ob ein öffentlicher Exploit existiert, was das betroffene Asset tut oder ob kompensierende Kontrollen das Risiko reduzieren. Eine CVSS 9.8 Schwachstelle ohne öffentlichen Exploit in einem rein internen System ist weniger dringlich als eine CVSS 7.5 Schwachstelle mit einem aktiven Exploit-Kit, das auf internetorientierte Zahlungssysteme abzielt.

EPSS: Exploit Prediction Scoring System

EPSS prognostiziert die Wahrscheinlichkeit, dass eine Schwachstelle innerhalb der nächsten 30 Tage in freier Wildbahn ausgenutzt wird, basierend auf realen Ausnutzungsdaten. Ein EPSS-Score von 0,97 bedeutet eine Wahrscheinlichkeit von 97 % für eine Ausnutzung. In Kombination mit CVSS hilft EPSS, zwischen theoretischer Schwere und praktischem Risiko zu unterscheiden. CVEs mit hohem CVSS, aber niedrigem EPSS können oft herabgestuft werden. CVEs mit moderatem CVSS, aber hohem EPSS sollten beschleunigt werden.

SSVC: Stakeholder-Specific Vulnerability Categorisation

SSVC, entwickelt von CISA und Carnegie Mellon, ersetzt numerische Scores durch Entscheidungsbäume. Es bewertet den Ausnutzungsstatus (kein, PoC, aktiv), die technischen Auswirkungen (partiell, total), die Missionsprävalenz (minimal, unterstützend, essentiell) und erzeugt eine empfohlene Aktion: Track, Track*, Attend oder Act. SSVC erzeugt umsetzbarere Ergebnisse als numerische Scores.

Kontextbezogene Priorisierung

Die effektivste Priorisierung ergänzt Ihren spezifischen Geschäftskontext: Was macht das betroffene System? Welche Daten enthält es? Ist es dem Internet zugewandt oder nur intern? Sind kompensierende Kontrollen vorhanden? Wie groß ist der Gefährdungsbereich im Falle einer Kompromittierung? Diese kontextbezogene Analyse ist der Punkt, an dem die manuelle Expertenprüfung von Penetrify den größten Mehrwert bietet – Tester bewerten die Ergebnisse im Kontext Ihrer spezifischen Umgebung und erstellen Schweregrade, die das tatsächliche Geschäftsrisiko widerspiegeln und nicht nur theoretische Werte.

Ein praktischer Workflow zur Priorisierung

Schritt 1: Filtern nach EPSS > 0,1 (Schwachstellen mit signifikanter Ausnutzungswahrscheinlichkeit). Schritt 2: Rangfolge nach Asset-Kritikalität (Internetverbindung, sensible Daten, umsatzgenerierend). Schritt 3: Prüfen auf kompensierende Kontrollen, die das effektive Risiko reduzieren. Schritt 4: Anwenden des SSVC-Entscheidungsbaums für empfohlene Maßnahmen. Schritt 5: Zuweisen von Behebungsfristen basierend auf der resultierenden Priorität. Dieser Workflow reduziert Ihre 847 Ergebnisse auf die 30–50, die wirklich sofortige Aufmerksamkeit erfordern.

Das Fazit

CVSS ist ein Ausgangspunkt, kein Priorisierungsrahmen. Schichten Sie EPSS für die Ausnutzungswahrscheinlichkeit, SSVC für umsetzbare Entscheidungen und eine kontextbezogene Analyse für die Relevanz für Ihr Unternehmen. Die erfahrenen Tester von Penetrify bieten die kontextbezogene Priorisierung, die eine automatisierte Bewertung nicht leisten kann – denn zu wissen, dass eine Schwachstelle existiert, ist weniger wichtig als zu wissen, ob sie für Ihr Unternehmen relevant ist.

Häufig gestellte Fragen

Was ist EPSS?

Das Exploit Prediction Scoring System prognostiziert die Wahrscheinlichkeit, dass eine Schwachstelle innerhalb von 30 Tagen in freier Wildbahn ausgenutzt wird. Es verwendet reale Ausnutzungsdaten, um zwischen theoretischer Schwere und praktischem Risiko zu unterscheiden.

Sollte ich CVSS nicht mehr verwenden?

Nein – verwenden Sie CVSS weiterhin als Grundlage, aber verwenden Sie es nicht als Ihr einziges Priorisierungsmerkmal. Schichten Sie EPSS für die Ausnutzungswahrscheinlichkeit und eine kontextbezogene Analyse für die Relevanz für Ihr Unternehmen.