SEC://HOUSE

SEC://HOUSE

Ein Data Warehouse für Software-Schwachstellen

Diplomarbeit, August 2000

Zusammenfassung

Wie schon in Data-Mining in Schwachstellendatenbanken beschrieben, sind wir immer noch weit davon entfernt, die Sicherheit von IT-Systemen in den Maßstäben zu gewährleisten, wie sie in anderen Branchen längst üblich sind. Dies liegt u.a. daran, daß IT-Systeme sehr komplex sind und sich in allen Phasen des Lebenszyklus Fehler einschleichen können. Als Beispiele seien an dieser Stelle Programmier- oder Konfigurationsfehler genannt. Wie Ross Anderson in „Why Cryptosystems Fail“ beschrieben, ist eine Verbesserung nur dann zu erwarten, wenn die Eigenschaften der Schwachstellen in IT-Systemen systematisch untersucht werden.

Dies war der Grund, aus dem heraus diese Diplomarbeit entstand. Im Rahmen dieser Arbeit, wurden zuerst charakteristische Informationsquellen für Schwachstellen bezüglich ihres Typs und ihrer Informationsstruktur analysiert. Danach wurden existierende Informationsquellen auf Vor- und Nachteile, wie auch auf den Informationsgehalt hin untersucht. U.a. führte dies dazu, die Anforderungen an eine Schwachstellendatenbank zu untersuchen, die den erfolgreichen und insbesondere auch wirtschaftlichen Betrieb einer Schwachstellendatenbank ermöglichen. Diese Untersuchung wurde unter dem besonderen Aspekt durchgeführt, ein tragfähiges Geschäftsmodell für eine Schwachstellendatenbank zu entwerfen. Zuletzt wird die Struktur, der im Rahmen dieser Arbeit entwickelten Schwachstellendatenbank „SEC://HOUSE“ vorgestellt, ebenso wie der Prototyp eines Werkzeugs, daß die Eingabe in die und Bearbeitung von Daten in der Schwachstellendatenbank erlaubt. Beim Design der SEC://HOUSE-Schwachstellendatenbank wurde dabei insbesondere darauf geachtet, daß es möglich ist, Schwachstellen systematisch einzuordnen, so daß auch strukturierte Analysen und Recherchen auf dem Datenbestand möglich sind. Die Arbeit schließt mit einem Überblick über zukünftige Arbeiten im Rahmen des Projekts SEC://HOUSE der Technischen Universität Darmstadt.

PDF Version (977 KB)