常见漏洞和暴露(CVE)是用于识别和发布网络安全漏洞的标准系统。其主要目的是促进有关漏洞的数据的共享和分发,以实现更好的防御策略并促进网络安全社区内的协作。
CVE 的历史和起源
CVE 的概念起源于 20 世纪 90 年代末的计算机安全社区,主要是 MITRE 公司的一项倡议。该系统于 1999 年 9 月启动,并附带第一个 CVE 列表,这是已知网络安全漏洞的标准化标识符数据库。
CVE 的最初目的是提供一种用于讨论和共享漏洞信息的通用语言。在引入 CVE 之前,不同的供应商和研究人员对相同的漏洞使用不同的名称和描述,导致混乱和误解。
了解 CVE
每个 CVE 条目都包含一个标识号、描述和至少一个公共参考。标识号遵循特定格式:CVE-YYYY-NNNNN,其中“YYYY”是分配 CVE ID 或漏洞公开的年份,“NNNNN”是该漏洞的唯一编号。
CVE 系统不提供与特定漏洞相关的严重性或风险的任何信息。然而,它提供了一个基准,其他组织(例如国家漏洞数据库(NVD))可以围绕该基准附加其他元数据,例如风险评分或可利用性指数。
CVE 的内部结构和功能
CVE 系统的工作原理是为每个已知漏洞分配一个唯一的标识符。此标识符可帮助安全从业人员使用通用语言引用特定漏洞,从而有助于缓解工作。
CVE ID 是由 CVE 编号机构 (CNA) 请求并分配的。 CNA 是来自世界各地的组织,它们与 CVE 计划合作,将 CVE ID 分配给影响其独特商定范围内的产品的漏洞。
然后,由 MITRE 维护的 CVE 列表将使用这些新条目进行更新。漏洞数据库(例如 NVD)从 CVE 列表中提取数据以创建更详细的漏洞列表。
CVE 的主要特点
- 标准化标识符: 每个 CVE ID 都代表一个唯一的漏洞,这可以避免在讨论或共享有关漏洞的信息时产生混淆。
- 公开可访问的数据库: CVE 列表免费向公众开放,促进透明度和协作。
- 广泛采用: CVE ID 被全球网络安全供应商和研究人员广泛使用,使其成为全球公认的标准。
- 通用语言: 使用通用标识符提供讨论单个漏洞的标准方法,有助于改善网络安全协调和协作。
CVE 的类型
CVE 类型本身没有正式的分类,但可以根据不同的标准对漏洞进行分类,例如它们影响的区域(例如内存、操作系统、应用程序)、如何利用它们(例如远程、本地) ),以及它们所造成的影响(例如,数据泄露、系统崩溃)。
例如,看看如何利用漏洞,我们可以:
| 剥削向量 | 描述 |
|---|---|
| 当地的 | 攻击者需要物理访问或本地用户权限才能利用该漏洞 |
| 邻近的 | 攻击者必须能够访问与目标系统相同的网络才能利用该漏洞 |
| 偏僻的 | 攻击者可以通过互联网利用该漏洞 |
网络安全专业人员使用 CVE 来识别漏洞、评估其影响并制定缓解策略。然而,这个系统并非没有挑战。值得注意的是,CVE 系统为新漏洞分配标识符的速度可能很慢,从而导致覆盖范围存在差距。此外,由于 CVE 不提供严重性或风险信息,组织必须依赖其他资源来获取此数据。
为了解决这些问题,网络安全社区开发了补充工具和资源。例如,国家漏洞数据库为每个 CVE 提供严重性评分和附加元数据,而 CERT/CC 和零日计划等组织通常会在分配 CVE ID 之前为新漏洞分配临时标识符。
与类似术语的比较
| 学期 | 描述 | 与CVE的比较 |
|---|---|---|
| CVSS | 通用漏洞评分系统 (CVSS) 提供了一种捕获漏洞主要特征并生成代表其严重性的数字评分的方法。 | CVE 识别漏洞,而 CVSS 根据漏洞的严重性对其进行评分。 |
| CWE | 常见弱点枚举 (CWE) 是社区制定的常见软件安全弱点列表。它作为描述这些弱点的通用语言。 | CVE 识别特定漏洞,而 CWE 则描述可能导致漏洞的安全弱点类型。 |
与 CVE 相关的未来前景和技术
随着网络安全威胁的不断发展,CVE 系统也需要适应。 CVE 系统的未来增强功能可能包括自动漏洞检测和报告、扩大 CNA 范围以及与人工智能 (AI) 和机器学习 (ML) 技术集成以进行预测分析。
代理服务器和 CVE
代理服务器(如 OneProxy 提供的代理服务器)既可以是 CVE 上下文中的目标,也可以是工具。作为目标,代理服务器软件中的漏洞如果存在安全风险,可能会收到自己的 CVE ID。作为工具,代理服务器可以配置为减轻某些漏洞的影响,例如,通过过滤与已知 CVE 相关的恶意流量。
