Cyber-Defence Campus arbeitet an Security Advisories
Der Cyber-Defence Campus kooperiert mit dem deutschen Bundesamt für Sicherheit. Gemeinsam wollen die beiden Institutionen Security Advisories vereinheitlichen. Dazu haben sie Open-Source Tools entwickelt.
Der Cyber-Defence Campus (CYD) von Armasuisse Wissenschaft und Technologie arbeitet mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Gemeinsam wollen sie Open-Source Tools zur Erzeugung von Security Advisories entwickeln. Informationen über Schwachstellen sollen so leichter ausgetauscht werden können, wie das Bundesamt für Rüstung mitteilt.
Vereinheitlichung der Datensätze
Informationen zu IT-Schwachstellen werden laut Mitteilung in Security Advisories zusammengefasst. Diese erhalten Informationen über die Art und Schwere von identifizierten Schwachstellen. Auch würden sie Informationen über die betroffenen Produkte und Versionen enthalten.
Durch die steigende Zahl der Security Advisories stehen die Betreiber laut dem Bundesamt vor einer grossen Herausforderung. Die Informationen würden sich nämlich je nach Quelle in Format, Struktur und Qualität unterscheiden. So könne keine automatische Verarbeitung der Daten stattfinden.
Im Rahmen einer nationalen Strategie würde nun der CYD zusammen mit dem BSI an der Förderung zur Verbreitung des Common Security Advisory Frameworks (CSAF) zusammenarbeiten. Mithilfe des CSAF-Standards wird festgelegt, in welchem Format und an welchem Ort die Daten bereitgestellt werden, teilt das Bundesamt mit. Dadurch sollen die Informationen maschinenlesbar werden und automatisiert abrufbar sein. In ihrem Halbjahresbericht schätzt das Nationale Zentrum für Cyber Sicherheit (NCSC), dass das CSAF ein hilfreiches Mittel zur Erfassung und Verarbeitung von Sicherheitsempfehlungen werden könne.
Zudem entwickelte der CYD Campus mit dem BSI zwei Proof-of-Concept Tools, die zu Open-Source Tools weiterentwickelt werden sollen:
Secvisogram
Das Open-Source Tool Secvisogram soll laut Mitteilung bei der Erstellung von CSAF-Dokumenten helfen. In dem Programm soll man sich ein Advisory "zusammenklicken" können. Die Daten würden dann entsprechend umgewandelt. Die aufbereiteten Daten sollen dann zu einem von Menschen lesbaren Security Advisory zusammengefasst werden.
CSAF-Backend
Bei dem Open-Source Tool CSAF-Backend handelt es sich um ein Programm zur Verwaltung von CSAF-Dokumenten. Mit dem Programm werden Arbeitsabläufe verwaltet, die zur Beseitigung von Sicherheitslücken benötigt werden. Im Rahmen einer öffentlichen Ausschreibung soll das CSAF-Backend von einem Proof-of-Concept-Tool zu einem produktiv einsetzbaren Programm weiterentwickelt werden.
Die Cybersecurity-Spezialisten von Eset haben ihre Trend-Prognose für 2022 veröffentlicht. Darin erklären Sie drei mögliche digitale Security-Krisengebiete. Hier können Sie lesen, welche Bereiche besonders gefährdet sind.