An Information Security Advisory Risk Assessment Concept

Abstract

The number of published information security advisories regarding vulnerabilities is constantly rising, resulting in a high workload for organizations which need to process the information to implement timely remediation measures to avoid the extensive costs of a successful exploitation. To aid organizations in the prioritization of advisories, this thesis develops an automated assessment concept for advisories. Building upon established concepts and open-source data, it recognises characteristics of advisories and improves current rating approaches. By using network topologies of an organization, the results can be adapted based on a local environment. The evaluation of the concept shows the prioritization of advisories which could serve as an entry point to the organization’s network. By implementing an extension to the concept which regards the exploitation impacts of advisories, the assessment is improved to better reflect possible paths through the network. Without an organization’s network topology, advisories with many, knownexploited or severe vulnerabilities are still highlighted, but a local contextualization and henceforth an improved assessment is lost. This work shows an assessment construct, that can serve as the foundation to built better and automatised security advisory ratings with or without topology knowledge.

Die Zahl der veröffentlichten Informationssicherheitswarnungen für Schwachstellen steigt stetig, müssen aber trotzdem zeitnah bearbeitet werden, um erhebliche Schadenskosten durch erfolgreiche Ausnutzungen der Schwachstellen zu vermeiden. Um Organisationen bei der Priorisierung von Sicherheitswarnungen zu unterstützen, wird in dieser Thesis ein automatisiertes Bewertungskonzept entwickelt. Es bezieht die Charakteristiken von Sicherheitswarnungen ein, um mithilfe von etablierten Konzepten und Open-Source- Informationen gängige Bewertungskonzepte zu verbessern. Weiterhin wird ein Verfahren zur Anpassung der Bewertung im lokalen Kontext einer Organisation entwickelt, indem die Netzwerktopologie betrachtet wird. Die Evaluierung des Konzepts zeigt, dass Sicherheitswarnungen, die als Zugangspunkt in das Netzwerk einer Organisation missbraucht werden können, priorisiert werden. Durch eine Erweiterung, in der die Aus-wirkungen der Schwachstellen zur verbesserten Darstellung möglicher Pfade durch das Netzwerk genutzt werden, wird das Verfahren verbessert und die Erweiterbarkeit gezeigt. Auch ohne die Netz-werktopologie einer Organisation werden immer noch Sicherheitswarnungen mit vielen, ausgenutzten oder schwerwiegenden Schwachstellen fokussiert. Allerdings geht in diesem Fall eine lokale Anpassung und dementsprechend eine bessere Bewertung verloren. Zusammenfassend zeigt diese Arbeit ein Bewertungskonzept, das als Grundlage für bessere und automatisierte Bewertungen von Informations-sicherheitswarnungen genutzt werden kann, sowohl mit als auch ohne Informationen über die Netzwerk-topologie.