care este Glosarul vulnerabilități și expuneri comune (CVE)
CVE reprezintă vulnerabilități și expuneri comune. CVE este un glosar care clasifică vulnerabilitățile. Glosarul analizează vulnerabilitățile și apoi utilizează sistemul comun de notare a vulnerabilității (CVSS) pentru a evalua nivelul de amenințare al unei vulnerabilități. Un scor CVE este adesea folosit pentru prioritizarea securității vulnerabilităților.
glosarul CVE este un proiect dedicat urmăririi și catalogării vulnerabilităților în software-ul și hardware-ul consumatorilor. Este întreținut de MITRE Corporation cu finanțare de la Divizia SUA pentru Securitate Internă. Vulnerabilitățile sunt colectate și catalogate folosind security content Automation Protocol (SCAP). SCAP evaluează informațiile despre vulnerabilitate și atribuie fiecărei vulnerabilități un identificator unic.
odată evaluate și identificate, vulnerabilitățile sunt listate în glosarul MITRE disponibil publicului. După listare, vulnerabilitățile sunt analizate de Institutul Național de standarde și Tehnologie (NIST). Toate informațiile despre vulnerabilitate și analiză sunt apoi listate în baza de date națională de vulnerabilitate (NVD) a NIST.
glosarul CVE a fost creat ca o bază de comunicare și sursă de dialog pentru industriile de securitate și tehnologie. Identificatorii CVE servesc la standardizarea informațiilor despre vulnerabilități și la unificarea comunicării între profesioniștii din domeniul securității. Recomandările de securitate, bazele de date de vulnerabilitate și trackerele de erori utilizează acest standard.
ce vulnerabilități se califică pentru o vulnerabilitate CVE
pentru a fi clasificate ca vulnerabilitate CVE, vulnerabilitățile trebuie să îndeplinească un anumit set de criterii. Aceste criterii includ:
Independent de alte problemetrebuie să puteți remedia vulnerabilitatea independent de alte probleme. |
||
recunoscut de către furnizorvulnerabilitatea este cunoscută de către furnizor și este recunoscut de a provoca un risc de securitate. |
este un risc doveditvulnerabilitatea este prezentată cu dovezi ale impactului asupra securității care încalcă politicile de securitate ale furnizorului. |
|
afectând o bază de codfiecare vulnerabilitate a produsului primește un CVE separat. Dacă vulnerabilitățile provin din protocoale, standarde sau biblioteci partajate, se atribuie un CVE separat pentru fiecare furnizor afectat. Excepția este dacă nu există nicio modalitate de a utiliza componenta partajată fără a include vulnerabilitatea. |
ce este sistemul comun de notare a vulnerabilităților (CVSS)
CVSS este una dintre mai multe modalități de măsurare a impactului vulnerabilităților, care este cunoscut sub numele de scorul CVE. CVSS este un set deschis de standarde utilizate pentru a evalua o vulnerabilitate și a atribui o severitate pe o scară de la 0 la 10. Versiunea curentă a CVSS este v3.1, care descompune scara este după cum urmează:
severitate | scor de bază |
nici unul | 0 |
scăzut | 0.1-3.9 |
Mediu | 4.0-6.9 |
mare | 7.0-8.9 |
critică | 9.0-10.0 |
standardul CVSS este utilizat de multe organizații de renume, inclusiv NVD, IBM și Oracle. Dacă doriți să vedeți cum se calculează CVSS sau să convertiți scorurile atribuite de organizațiile care nu utilizează CVSS, puteți utiliza calculatorul NVD.
severitatea vulnerabilităților CVE de top
identificatori CVE
când vulnerabilitățile sunt verificate, o autoritate de numerotare CVE (CNA) atribuie un număr. Un identificator CVE urmează formatul — CVE – {year} – {ID}. În prezent, există 114 organizații, din 22 de țări, care sunt certificate ca CNAs. Aceste organizații includ organizații de cercetare și furnizori de securitate și IT. CNAs își acordă Autoritatea de către MITRE, care poate atribui, de asemenea, numere CVE direct.
informațiile privind vulnerabilitatea sunt furnizate CNAs prin intermediul cercetătorilor, furnizorilor sau utilizatorilor. Multe vulnerabilități sunt, de asemenea, descoperite ca parte a programelor de recompense pentru bug-uri. Aceste programe sunt create de furnizori și oferă o recompensă utilizatorilor care raportează vulnerabilități direct vânzătorului, spre deosebire de a face informațiile publice. Furnizorii pot raporta apoi vulnerabilitatea la un CNA împreună cu informații despre patch-uri, dacă sunt disponibile.
odată ce o vulnerabilitate este raportată, CNA îi atribuie un număr din blocul de identificatori CVE unici pe care îi deține. CNA raportează apoi vulnerabilitatea cu numărul atribuit lui MITRE. Frecvent, vulnerabilitățile raportate au o perioadă de așteptare înainte de a fi făcute publice de MITRE. Acest lucru permite furnizorilor să dezvolte patch-uri și reduce șansa ca defectele să fie exploatate odată cunoscute.
când o vulnerabilitate CVE este făcută publică, aceasta este listată cu ID-ul său, o scurtă descriere a problemei și orice referințe care conțin informații sau rapoarte suplimentare. Pe măsură ce apar noi referințe sau constatări, aceste informații sunt adăugate la intrare.
deschideți bazele de date CVE
există multe baze de date care includ informații CVE și servesc drept resurse sau fluxuri pentru notificarea vulnerabilității. Mai jos sunt trei dintre cele mai frecvent utilizate baze de date.
National Vulnerability Database (NVD)
NVD a fost format în 2005 și servește ca bază de date CVE primară pentru multe organizații. Acesta oferă informații detaliate despre vulnerabilități, inclusiv sistemele afectate și potențialele remedieri. De asemenea, înregistrează vulnerabilități folosind standardele CVSS.
după cum sa menționat anterior, informațiile CVE de la MITRE sunt furnizate către NVD, care apoi analizează vulnerabilitatea CVE raportată. Deși aceste organizații lucrează în tandem și sunt ambele sponsorizate de Departamentul pentru Securitate Internă al SUA (DHS), ele sunt entități separate.
Vulnerability Database (VULDB)
VULDB este o bază de date vulnerabilitate bazată pe comunitate. Oferă informații despre gestionarea vulnerabilității, răspunsul la incidente și inteligența amenințărilor. VULDB este specializată în analiza tendințelor de vulnerabilitate. Aceste analize sunt furnizate într-un efort de a ajuta echipele de securitate să prezică și să se pregătească pentru viitoarele amenințări.
detalii CVE
detalii CVE este o bază de date care combină datele NVD cu informații din alte surse, cum ar fi baza de date Exploit. Vă permite să răsfoiți vulnerabilitățile în funcție de furnizor, produs, tip și dată. Include vulnerabilități CVE, precum și vulnerabilități enumerate de Bugtraq ID și Microsoft Reference.
resurse RSS
dacă doriți să utilizați RSS pentru actualizări rapide și ușoare despre vulnerabilitățile CVE, puteți încerca următoarea listă:
- baza de date națională privind vulnerabilitățile-vulne noi
- Seclist.org -vulnerabilități dezvăluite
pentru mai multe resurse consultați acest post pe Reddit.
Imperva Application Security
echipa Imperva security utilizează o serie de baze de date CVE pentru a urmări noi vulnerabilități și pentru a actualiza instrumentele noastre de securitate pentru a proteja clienții împotriva acestora.
Firewall-ul nostru pentru aplicații Web (WAF) blochează toate încercările de exploatare a CV-urilor cunoscute, chiar dacă vulnerabilitatea de bază nu a fost remediată și folosește, de asemenea, reguli generice și analize de comportament pentru a identifica atacurile de exploatare de la vectori de amenințare noi și necunoscuți.
când apare un nou CVE, soluția noastră este actualizată rapid cu semnătura sa, făcând posibilă blocarea atacurilor zero-day pe marginea rețelei, chiar înainte ca un patch Furnizor să fie emis sau aplicat sistemului vulnerabil.
Imperva menține, de asemenea, indicele de amenințare cibernetică pentru a promova vizibilitatea și conștientizarea vulnerabilităților, tipurile și nivelul lor de severitate și exploatabilitate, ajutând organizațiile de pretutindeni să se pregătească și să se protejeze împotriva vulnerabilităților CVE.