22 www.net-im-web.de 09/25 Risiken für kritische Infrastrukturen der Partner in diesem Projekt war. In diesem Prozess meldet der Betreiber einen Vorfall an das CERT@VDE und soll dazu möglichst viele relevante Informationen übermitteln, damit über das CERT der entsprechende Hersteller alarmiert werden kann. Für den Fall, dass bereits ein Patch verfügbar ist, kann der Betreiber direkt wichtige Hilfestellungen und Informationen über den grünen Pfeil erhalten, um die Schwachstelle bei sich schließen zu können. Handelt es sich um eine bisher unbekannte Schwachstelle, wird der Hersteller beginnen, einen entsprechenden Patch zu entwickeln, der später auch die Betreiber erreichen wird. Dieser in Abbildung 1 als grüner Pfeil benannte Prozess kann und sollte automatisiert werden und bezieht sich dann auf die Kommunikation zwischen einem CSAF-Aggregator und einem CSAF-Consumer. Der CSAF-Aggregator stellt beim CERT gesammelte und eventuell aufbereitete Schwachstelleninformationen in Form von CSAF-Dokumenten zur Verfügung, die vom CSAF-Consumer heruntergeladen und verarbeitet werden. Die automatisierte Verarbeitung von CSAF-Dokumenten umfasst neben der Kommunikation vom CSAF-Aggregator zum CSAF-Consumer auch die Verarbeitung der CSAF-Dokumente bis hin zur Ticketerstellung in einem System zur Angriffserkennung (SzA), was durch ein Security Information and Event Management (SIEM) realisiert werden kann. Abbildung 2 zeigt mit dem SIEMSystem ScanBox, wie eine mögliche CSAFIntegration aussehen könnte, die im Projekt exemplarisch umgesetzt wurde . Der CSAF-Aggregator stellt dabei die zentrale Anlaufstelle von CSAF-Dokumenten dar, die über den Update-Service in der CSAFDatenbank abgelegt werden. Die Datenbank befindet sich im Netz des Betreibers und kann für weitere Analysen genutzt werden. Die Asset-Datenbank enthält schützenswerte Komponenten (Server, Laptops, Netzwerkgeräte etc.), die vom SIEM-System gesammelt und überwacht werden. In regelmäßigen Abständen wird nach neuen Assets im Netzwerk gesucht, da man bei einer Sicherheitsanalyse alle Komponenten kennen muss. Die Playbook-Datenbank enthält Empfehlungen zur Behebung von Schwachstellen. Sie sind mit CVEs und den entsprechenden Assets verknüpft. Der CSAF-Update-Service ist ein Teil des CSAF-Consumers. Die Hauptaufgabe dieser Komponente ist es, die lokale CSAF-Datenbank auf der Seite des Betreibers aktuell zu halten. In der CSAF-Analyse-Engine verbirgt sich der CSAF-Asset-Matcher, der CSAF-Dokumente mit Assets assoziiert. Trifft die Beschreibung eines CSAF auf ein Asset zu, wird ein CSAF-Asset-Match erzeugt. Wenn dies geschieht, wird ein Ticket für das SIEM-System ScanBox erzeugt. Die eindeutige Identifizierung von Assets ist dabei von entscheidender Bedeutung für das Matching gegen CSAF-Advisorys. In der CSAF-Spezifikation wurden daher Felder definiert, die zur korrekten Identifizierung von Assets verwendet werden können. Aufgrund der Tatsache, dass eine eindeutige Identifikation eines Assets nur innerhalb eines Namensraumes möglich ist, ist es notwendig, den entsprechenden Namensraum eines Assets zu bestimmen. Fazit CSAF 2.0 ist ein entscheidender Baustein für die Automatisierung und Standardisierung von Security Advisorys. Es ermöglicht eine schnellere, genauere und sicherere Reaktion auf Schwachstellen. Daher fördert das BSI eine Verbreitung dieses Standards. Alleine durch das kommende NIS2-Sicherheitsgesetz werden zirka 38.000 Unternehmen dazukommen, die gesetzlich Sicherheitsvorfälle an das BSI schicken müssen. Und diese Informationsflut kann nur durch eine entsprechende Automatisierung gehandhabt werden. Der CSAF-Demonstrator des ZenSIM4.0-Projekts hat gezeigt, dass dies möglich ist. Abbildung 2: SIEM-Architektur mit CSAF-Verbraucherkomponente. Der CSAF-Aggregator stellt dabei die zentrale Anlaufstelle von CSAF-Dokumenten dar, die über den Update-Service in der CSAF-Datenbank abgelegt werden (Grafiken: Detken)
RkJQdWJsaXNoZXIy MjE2Mzk=