Vulnerabilities

Question 1

Lieferketten sind meist

Answer 1

grey oder sogar blackbox

Question 2

Für wer giltet die Meldepflicht an BACS?

Answer 2

Betreiber kritischer Infrastruktur

Question 3

Schwachstellen sind oft

Answer 3

Ursache für Cybervorfälle

Question 4

Typen von Vulnerabilities

Answer 4

Question 5

Ursachen von Schwachstellen

Answer 5

*Programmierfehler
*Designfehler
*veraltete Software
*unbeabsichtigte Interaktionen zwischen Komponenten
*Unzureichende Validierung
*Mangelhafte Fehlerbehandlung
*Wandel der Technologie
*…

Question 6

Fehler in Software ist ein…

Answer 6

Bug

Question 7

Typen von Bugs

Answer 7

*Syntaxfehler, werden durch Compiler entdeckt.
*Semantische, logische, Design und Laufzeitfehler.

Question 8

Fehler pro 1000 Zeilencode in Entwicklung (Typischerweise)

Answer 8

30

Question 9

Fehler pro 1000 Zeilen Code in Production (Typischerweise)

Answer 9

< 1

Question 10

Bug vs. Vulnerability

Answer 10

*Bug: unerwünschtes Verhalten
*Vulnerability: ein oder mehrere Bugs, welche missbraucht werden können.

Question 11

Ohne Exploit

Answer 11

kein Fehlerverhalten

Question 12

Definition Weakness

Answer 12

Fehler (meist nicht-funktional) im System, der das Verhalten oder die Funktionalität verändert.

Question 13

Häufiger Ursprung von Weaknesses

Answer 13

Nichtbefolgen von Standards und Abmachungen

Question 14

Definition Vulnerability

Answer 14

Schwachstellen, welche von einem Angreifer ausgenutzt oder ausgelöst werden können um Kontrollen oder Systemsicherheitsverfahren zu umgehen.

Question 15

Definition Zero-Day-Vulnerability (ZDV)

Answer 15

dem Hersteller bislang unbekannte Sicherheitslücke.

Question 16

Definition Zero-Day-Exploit

Answer 16

Exploit, welcher Zero-Day-Vulnerability ausnutzt.

Question 17

Zero-Day Vulnerability kann zu

Answer 17

*N-Day Vulnerability werden (Mitigation möglich)
*Forever-Day Vulnerability (Mitigation nicht möglich)

Question 18

Mittelwert zwischen Hersteller erhält Bug bis patched Version verfügbar (Google Project Zero)

Answer 18

61 Tage

Question 19

Was kann man mit einer Vulnerability machen?

Answer 19

*Keine Veröffentlichung, geheim halten
*nur Hersteller mitteilen
*allen mitteilen
*an den Meistbietenden verkaufen

Question 20

CVD - Coordinated/Responsible Vulnerability Disclosure

Answer 20

Koordinierte Offenlgung
Schwachstellen werden erst offengelegt, wenn verantwortliche Parteien genug Zeit hatten diesen zu Patchen.

Question 21

Schadenspotenzial einer Vulnerability Skala

Answer 21

CVSS - Common Vulnerability Scoring System

Question 22

CVSS Parameter

Answer 22

*Exploitability
**Attack Vector
**Attack Complexity
**Privileges required
**User Interaction
*Impact
**scope changed
**confidentiality
**integrity
**availability

Question 23

CVE

Answer 23

Common Vulnerabilites and Exposures

Question 24

Behebung von Vulnerabilites

Answer 24

*es gibt zu viele, dass man sie alle sofort beheben könnte
*nur eine kleine Teilmenge (2-7%) der veröffentlichten Schwachstellen werden jemals ausgenutzt.
*resultierend ist die Priorisierung sehr wichtig

Question 25

Ethische Betrachtung zu Vulnerabilites:

Answer 25

*Verantwortung bei Entdeckung und Offenlegung *Wahrung der Privatsphäre und Sicherheit *Kommerzielle Interesse vs. Öffentliche Sicherheit *Ausbeutung durch Angreifer *Technologische Verantwortung *Umgang mit Zero-Day-Vulnerabilites

Question 26

Welche Vulnerabilites sind relevant?

Answer 26

*Nach CVSS-Score *Betrifft uns diese? *Was würde die Ausnutzung bedeuten?

Question 27

Vorhersage, wie wahrscheinlich eine Vulnerability in den nächsten 30 Tagen exploited wird.

Answer 27

EPSS - Exploit Prediction Scoring System

Question 28

Kontaktangaben für sicherheitsrelevante Probleme auf Website

Answer 28

Security.txt (analog zu robots.txt)

Question 29

Was beinhaltet ein VDR - Vulnerability disclosure report?

Answer 29

*bevorzugter Kontakt-Mechanismus *Möglichkeiten der sicheren (Vertraulichkeit und Authenzität) Kommunikation *Bestätigung des Eingangs innert 7 Kalendertagen

Question 30

Was beinhaltet ein VDA - Vulnerability disclosure advisory?

Answer 30

*Eindeutiger Identifier des Advisory *Eindeutiger Identifier für Vulnerabilites *Advisory muss Datum der ersten Publikation enthalten *Ausreichend Informationen, damit der User feststellen kann ob er betroffen ist *Authentizität des Advisory muss überprüfbar sein. *Wenn Massnahmen notwendig, muss Benutzer die Authentizität dieser Massnahmen überprüfen können.