Aggregation von Schwachstellen auf Basis von CVSS

Posted on 25. November 2015 by Kerstin Smounig

Alexander Beck | 10.12.2015 | 15:00 Uhr | HS 4

Kurzfassung

IT-Systeme sind stark zusammenhängende komplexe Strukturen, so dass eine Fokussierung auf das IT-System im Ganzen nur eine bedingt effiziente Sicherheitsbewertung gewährleistet. Die Sicherheit dieser komplexen Systemlandschaften stets aktualisiert unter Berücksichtigung aller Wechselbeziehungen zwischen Komponenten dieser Systemlandschaften darzustellen, gestaltet sich mangels geeigneter Modelle schwierig. Neben diesen Modellen bilden Schwachstellenbewertungen die Grundlage für die Bewertung der Sicherheit und werden durch aufwändige Betrachtungen interpretiert, um eine Gesamtbewertung zu ermitteln. Will man dieses Vorgehen automatisieren, muss zunächst eine gemeinsame Repräsentation von Schwachstellenbewertungen vereinbart werden. Das dazu geeignete Common Vulnerability Scoring System (CVSS) ermöglicht die Bewertung einzelner Schwachstellen hinsichtlich verschiedenster Fragestellungen. Um eine Darstellung der Gesamtsicherheit zu erreichen, müssen diese Schwachstellen aggregiert werden. Unter einer Aggregation ist dabei die gemeinsame Interpretation aller im Fokus stehenden Schwachstellen zur Erreichung einer Gesamtbewertung zu verstehen, welche auf Basis eines neuronalen Netzwerkes erfolgt. Das neuronale Netz ist ein lernfähiges Konzept der Informatik, mit dem es möglich ist auf Basis definierter Eingabeparameter ein definiertes Ergebnis zu modellieren. Dabei wird das Netz trainiert und die Ergebnisse mit Ergebnissen der bisherigen manuellen Bewertungsverfahren verglichen, bis eine entsprechende Qualität der automatisch ermittelten Ergebnisse gesichert ist.

Alexander Beck ist seit 2011 bei der Volkswagen AG tätig. Zuvor studierte er Informatik an Hochschule Harz und Otto-von-Guericke-Universität Magdeburg unter anderem mit den Schwerpunkten Datenintensive Systeme und Sicherheit. Im Rahmen seiner Dissertation erforscht er Verfahren zur automatisierten Sicherheitsbewertung von komplexen heterogenen IT-Infrastrukturen auf Basis neuronaler Netze.
Beruflich war er mehrere Jahre in der Informationssicherheit im Volkswagen Konzern tätig und beschäftigte sich mit den Themen Authentifizierung und Verschlüsselung. Aktuell arbeitet er im Bereich IT Projekt- und Programmmanagement der Volkwagen Financial Services AG und verantwortet IT Projekte im In- und Ausland.

Please follow and like us:
fb-share-icon
Posted in TEWI-Kolloquium | Kommentare deaktiviert für Aggregation von Schwachstellen auf Basis von CVSS
RSS
EMAIL
FACEBOOK
FACEBOOK
fb-share-icon
TWITTER
Tweet