Scroll down to see the english version.
CNA- und ADP-Enrichment stärkt die Enginsight CVE-Datenbank mit mehr Kontext und besserer Datenqualität.
Common Vulnerabilies and Exposures (CVE) sind ein zentraler Dreh- und Angelpunkt für die Analyse von Schwachstellen. Sie verbinden Herstellerhinweise, Scanner, Tickets und Reporting über eine eindeutige Referenz. In der Praxis wird dafür zumeist auf die National Vulnerability Database (NVD) zurückgegriffen. Sie gilt als Standardquelle für CVE-Metadaten. Gleichzeitig bleibt die Frage, ob eine einzelne Quelle für ein so kritisches Thema ausreicht und ob man sich im Zweifel von deren Vollständigkeit und Aktualität abhängig machen möchte.
Daher haben wir unsere CVE-Datenbank um Herstellerdaten aus CNA-Quellen und ADP-Enrichment erweitert. Somit werden über 8 % mehr CVEs zuverlässig auswertbar und relevante Zusatzinformationen liegen im Schnitt rund 70 Tage früher vor als in der NVD.
Definition zentraler Begriffe
| Common Vulnerabilies and Exposures (CVE) | Ein standardisiertes System zur eindeutigen Benennung und Beschreibung öffentlich bekannter Schwachstellen. |
| Common Vulnerability Exposure Scoring System (CVSS) | Ein Bewertungssystem, das die technische Schwere einer Schwachstelle als Score abbildet und häufig als Metadatum zu einer CVE geführt wird. |
| National Institute of Standards and Technology (NIST) | Eine US-Behörde, die die National Vulnerability Database (NVD) betreibt und bereitstellt. |
| National Vulnerability Database (NVD) | Eine von der NIST betriebene Datenbank, die CVE-Einträge sammelt und um standardisierte Metadaten wie CVSS, Referenzen und Produktzuordnungen ergänzt. |
| CVE Numbering Authorities (CNA) | Eine autorisierte Stelle im CVE-Programm, die CVE-IDs vergeben und CVE-Records für ihren Zuständigkeitsbereich veröffentlichen, pflegen und bspw. um weitere Metadaten oder Kontext anreichern darf. |
| Authorized Data Publisher (ADP) | Eine autorisierte Stelle im CVE-Programm, die bestehende CVE-Records zusätzlich anreichern darf, bspw. um weitere Metadaten oder Kontext. |
Warum NVD allein nicht mehr reicht
Die NVD ist eine von NIST betriebene Datenbank für öffentlich bekannte Schwachstellen. Sie orientiert sich am CVE-Standard, registriert Schwachstellen als CVEs und ergänzt die Einträge um weitere Metadaten, wie zum Beispiel Scoring, Referenzen und Produktzuordnungen. Damit stellt sie einen zentralen Mehrwert für automatisierte CVE-Erkennung und Patchmanagement dar.
In der Praxis zeigt sich jedoch ein wiederkehrendes Problem. Viele Einträge bleiben zunächst unvollständig, weil die entscheidenden Detailinformationen oft fehlen oder erst verzögert ergänzt werden.
Eine CVE ist aber nur dann für automatisierte Analysen wirklich nutzbar, wenn ausreichend Details vorliegen. Fehlen diese Informationen oder werden sie verspätet nachgezogen, bieten NVD-Einträge nur begrenzten Mehrwert.
Das Resultat sind direkte Auswirkungen auf Erkennung und Priorisierung von CVEs. So werden CVEs nicht zuverlässig auf Systemen erkannt, nicht entsprechend gematcht oder lassen sich nicht verlässlich bewerten. Ein typischer Effekt ist die Häufung von False Positives, bspw. durch zu grobe Produktzuordnung, oder noch kritischer: False Negatives durch die unsaubere Erkennung betroffener Versionen.
Doch wie kann man diese Hürden überwinden?
Die Lösung: Zusätzliches CNA- und ADP-Matching
Während die NVD auf externe Quellen angewiesen ist, haben die Hersteller betroffener Software und Anwendungen die fehlenden Informationen häufig früher und in höherer Detailtiefe parat. Genau an dieser Stelle setzen CNA-Quellen an. CNAs sind zumeist Hersteller oder Maintainer, welche CVEs für Ihren Zuständigkeitsbereich vergeben und zugehörige Datensätze pflegen.
ADP-Enrichment ergänzt diese Herstellerperspektive zusätzlich. ADPs reichern CVE-Datensätze mit zusätzlichen Informationen an. Besonders hilfreich ist das vor allem dann, wenn Datensätze der NVD noch unvollständig sind oder zusätzlicher Kontext für eine reelle Priorisierung fehlt.
Durch die Kombination aus NVD, CNA und ADP ergeben sich ganz konkrete Vorteile:
- Besser verwertbare CVE-Datensätze
Datenbankeinträge in der NVD ohne konkrete Zusatzinformationen werden schneller nutzbar. So können Lücken in Analysen geschlossen und eine höhere Abdeckung geschaffen werden.
- Optimiertes Produkt- und Versionsmatching
Hersteller liefern oftmals präzisere Angaben zu betroffenen sowie nicht betroffenen Versionen und konkreten Fix-Versionen. Durch genauere Versionierung und klare Fix-Zielstände können False Positives effektiv reduziert werden. Gleichermaßen sinkt die False-Negatives-Rate durch ungenaue oder unvollständige NVD-Zuordnungen.
- Mehr Kontext für Priorisierung
Der CVSS genügt in der Realität selten aus. Die Anreicherung durch CNA- und ADP-Daten bietet zusätzlichen Kontext für eine Priorisierung. Somit wird aus einem einfachen Score eine realistische Bewertung für die eigenen Systeme.
- Schnellere Handlungsfähigkeit
Wenn Informationen über betroffene Versionen, Fix-Versionen oder Mitigationsmöglichkeiten der betroffenen Schwachstelle direkt im Datensatz vorliegen, können Workflows automatisiert greifen. So werden Erkennung, Einordnung und Priorisierung von CVEs optimiert sowie die Patch-Planung vereinfacht.
- Nachvollziehbarkeit durch transparente Quellen
Wenn Daten aus mehreren Quellen stammen, sind Informationen über den Ursprung der Quellen relevant, was durch die klare Zuordnung zu CNA oder ADP sichtbar wird. Dies erleichtert die Prüfung durch Analysten, macht Entscheidungen bei widersprüchlichen Aussagen nachvollziehbar und liefert im Audit oder gegenüber Kunden einen belastbaren Nachweis, warum eine CVE so bewertet und priorisiert wurde.
Messbare Vorteile in der Enginsight CVE-Datenbank
Neben den genannten Vorteilen ist die Anreicherung der Enginsight CVE-Datenbank um CNA- und ADP-Quellen auch direkt messbar. Vor der Einführung der Erweiterung fehlten für 32.717 Einträge aus der NVD verwertbare Zusatzinformationen. Durch die Einbindung von CNA-Quellen konnten bereits 1.793 dieser zuvor „leeren“ Einträge in einen nutzbaren Zustand überführt werden. Durch ADP-Enrichment kommen weitere 1.049 ergänzte CVEs hinzu.
Damit steigt die Abdeckung um 8,69 % in Bezug auf Einträge, die zuvor nicht zuverlässig analysierbar waren und nun verwertbar sind. Zusätzlich ergibt sich ein klarer zeitlicher Vorteil. In unserer CVE-Datenbank liegen die entscheidenden Zusatzinformationen im Schnitt 70 Tage früher als in der NVD vor.
Durch den weiteren Ausbau der Versionserkennung für CNA- und ADP-Daten können Sie sich künftig auf eine weitere Erhöhung der Abdeckung freuen.
CNA and ADP enrichment enhances Enginsight‘s CVE database with more context and better data quality
Common Vulnerabilities and Exposures (CVE) are a key component for vulnerability analysis. They link vendor advisories, scanners, tickets, and reports through a unique reference. In practice, the National Vulnerability Database (NVD) is commonly used as the standard source for CVE metadata. However, the question remains whether relying solely on a single source is sufficient for such a critical topic and whether one should depend on its information being complete and in time.
That’s why we’ve expanded our CVE database with manufacturer data from CNA sources and ADP enrichment. This means over 8% more CVEs can be reliably assessed, and relevant additional information is available on average 70 days earlier than in the NVD.
Key Terms Explained
| Common Vulnerabilies and Exposures (CVE) | A standardized system for uniquely naming and describing publicly known vulnerabilities. |
| Common Vulnerability Exposure Scoring System (CVSS) | A scoring system that reflects the technical severity of a vulnerability and is often used as metadata for a CVE. |
| National Institute of Standards and Technology (NIST) | A US agency that operates and provides the National Vulnerability Database (NVD). |
| National Vulnerability Database (NVD) | A database maintained by NIST that collects CVE entries and adds standardized metadata such as CVSS, references, and product mappings. |
| CVE Numbering Authorities (CNA) | Authorized entities in the CVE program that assign CVE IDs and publish, maintain, and enrich CVE records for their area of responsibility. |
| Authorized Data Publisher (ADP) | Authorized entities in the CVE program that can add additional data to existing CVE records, such as extra metadata or context. |
Why NVD Alone Isn’t Longer Enough
The NVD is a database for publicly known vulnerabilities, operated by NIST. It follows the CVE standard, registers vulnerabilities as CVEs, and adds metadata like scoring, references, and product mappings. This provides significant value for automated CVE detection and patch management.
However, in practice, there’s a recurring issue: Many entries remain incomplete because critical details are often missing or added with delays. A CVE is only useful for automated analysis if it contains sufficient detail. Without this information or when it’s delayed, NVD entries offer limited value.
This has a direct impact on CVE detection and prioritization. CVEs may not be reliably detected on systems, may not be properly matched, or may be inaccurately assessed. A typical consequence is an increase inthe number of false positives (for example,incorrect product mapping) or,even more critical,false negatives due to inaccurate version detection.
The Solution: Additional CNA and ADP Matching
While the NVD relies on external sources, software vendors often have the missing information sooner and in greater detail. This is where CNA sources come in. CNAs are typically vendors or maintainers who assign CVEs for their area of responsibility and maintain related records.
ADP enrichment adds to this by supplementing the vendor’s perspective. ADPs enhance CVE records with additional information, which is especially helpful when NVD records are incomplete or lacking context for real prioritization.
The combination of NVD, CNA, and ADP has several benefits:
- Better Usable CVE Records: NVD database entries without extra information become usable much faster, closing gaps in analysis and providing better coverage.
- Optimized Product and Version Matching: Vendors often provide more accurate details about affected and unaffected versions as well as specific fix versions. With clearer versioning and fix targets, false positives can be effectively reduced. At the same time, false negatives are minimized through more accurate NVD mappings.
- More Context for Prioritization: The CVSS often isn’t enough on its own. Enrichment from CNA and ADP data provides the extra context needed for better prioritization, turning a simple score into a realistic evaluation for your systems.
- Faster Actionability: When information on affected versions, fix versions, or mitigation options is readily available in the CVE record, workflows can be automated. This improves CVE detection, categorization, prioritization, and simplifies patch planning.
- Traceability Through Transparent Sources: When data comes from multiple sources, knowing where the information comes from is important. This is made clear through CNA or ADP attribution, which helps analysts review the source, understand decisions when conflicting data arises, and provides solid proof for audits or customer queries about how a CVE was assessed and prioritized.
Measurable Benefits in the Enginsight CVE Database
In addition to these advantages, the enrichment of Enginsight‘s CVE database with CNA and ADP sources can be directly measured. Before this enhancement, 32,717 NVD entries lacked usable additional information. With the integration of CNA sources, 1,793 of these previously “empty” entries were made usable. ADP enrichment added another 1,049 enhanced CVEs.
This increases coverage by 8.69% in terms of entries that were previously unreliable for analysis but are now usable. Additionally, there’s a clear time advantage. In our CVE database, the crucial supplementary information is typically available 70 days earlier than in the NVD.
With further expansion of version detection for CNA and ADP data, you can expect even greater coverage in the future.
