آسیبپذیریها و مواجهههای رایج (CVE) یک سیستم استاندارد برای شناسایی و انتشار آسیبپذیریهای امنیت سایبری است. هدف اصلی آن تسهیل به اشتراک گذاری و توزیع داده ها در مورد آسیب پذیری ها برای فعال کردن استراتژی های دفاعی بهتر و تقویت همکاری در جامعه امنیت سایبری است.
تاریخچه و پیدایش CVE
مفهوم CVE در اواخر دهه 1990 در جامعه امنیت رایانه، عمدتاً به عنوان ابتکار شرکت MITER آغاز شد. این سیستم در سپتامبر 1999 با اولین فهرست CVE راه اندازی شد، پایگاه داده ای از شناسه های استاندارد شده برای آسیب پذیری های امنیت سایبری شناخته شده.
هدف اصلی CVE ارائه یک زبان مشترک برای بحث و تبادل اطلاعات در مورد آسیب پذیری ها بود. قبل از معرفی CVE، فروشندگان و محققین مختلف از نام ها و توصیف های مختلف برای آسیب پذیری های یکسان استفاده می کردند که منجر به سردرگمی و عدم ارتباط می شد.
درک CVE
هر ورودی CVE شامل یک شماره شناسایی، یک توضیح و حداقل یک مرجع عمومی است. شماره شناسایی از فرمت خاصی پیروی می کند: CVE-YYYY-NNNNN، که در آن «YYYY» سالی است که شناسه CVE اختصاص داده شده یا آسیب پذیری عمومی شده است، و «NNNN» یک شماره منحصر به فرد برای آن آسیب پذیری است.
سیستم CVE هیچ اطلاعاتی در مورد شدت یا خطر مرتبط با یک آسیب پذیری خاص ارائه نمی دهد. با این حال، پایهای را ارائه میکند که سایر سازمانها، مانند پایگاه داده ملی آسیبپذیری (NVD)، میتوانند ابردادههای اضافی مانند امتیازهای ریسک یا شاخصهای بهرهبرداری را ضمیمه کنند.
ساختار داخلی و عملکرد CVE
سیستم CVE با اختصاص یک شناسه منحصر به فرد به هر آسیب پذیری شناخته شده کار می کند. این شناسه به متخصصان امنیتی کمک می کند تا با استفاده از یک زبان مشترک به آسیب پذیری خاصی اشاره کنند که به تلاش های کاهش کمک می کند.
شناسههای CVE از مقامات شمارهگذاری CVE (CNA) درخواست و تخصیص داده میشوند. CNAها سازمانهایی از سراسر جهان هستند که با برنامه CVE برای تخصیص شناسههای CVE به آسیبپذیریهایی که بر محصولات در محدوده مشخص و مورد توافق آنها تأثیر میگذارند، شریک شدهاند.
لیست CVE که توسط MITRE نگهداری می شود، سپس با این ورودی های جدید به روز می شود. پایگاههای داده آسیبپذیری، مانند NVD، دادهها را از فهرست CVE برای ایجاد فهرستهای آسیبپذیری دقیقتر میکشند.
ویژگی های کلیدی CVE
- شناسه های استاندارد شده: هر شناسه CVE به یک آسیبپذیری منحصربهفرد اشاره دارد که از سردرگمی در هنگام بحث یا اشتراکگذاری اطلاعات در مورد آسیبپذیریها جلوگیری میکند.
- پایگاه داده در دسترس عموم: فهرست CVE به طور رایگان در دسترس عموم است و شفافیت و همکاری را تقویت می کند.
- پذیرش گسترده: شناسههای CVE به طور گسترده توسط فروشندگان و محققان امنیت سایبری در سراسر جهان استفاده میشوند و آن را به یک استاندارد شناخته شده جهانی تبدیل میکنند.
- زبان مشترک: استفاده از یک شناسه مشترک به بهبود هماهنگی و همکاری امنیت سایبری با ارائه یک روش استاندارد برای بحث در مورد آسیبپذیریهای فردی کمک میکند.
انواع CVE
طبقهبندی رسمی انواع CVE به خودی خود وجود ندارد، اما آسیبپذیریها را میتوان بر اساس معیارهای مختلفی طبقهبندی کرد، مانند ناحیهای که بر آنها تأثیر میگذارند (مثلاً حافظه، سیستمعامل، برنامه کاربردی)، نحوه بهرهبرداری از آنها (مثلاً از راه دور، محلی). و تأثیری که میگذارند (مثلاً نشت داده، خرابی سیستم).
به عنوان مثال، با نگاهی به اینکه چگونه می توان از آسیب پذیری ها سوء استفاده کرد، می توانیم داشته باشیم:
| وکتور بهره برداری | شرح |
|---|---|
| محلی | مهاجم برای سوء استفاده از آسیبپذیری به دسترسی فیزیکی یا امتیازات کاربر محلی نیاز دارد |
| مجاور | مهاجم باید به شبکه ای مشابه با سیستم هدف دسترسی داشته باشد تا از این آسیب پذیری سوء استفاده کند |
| از راه دور | مهاجم می تواند از این آسیب پذیری در سراسر اینترنت سوء استفاده کند |
CVE توسط متخصصان امنیت سایبری برای شناسایی آسیبپذیریها، ارزیابی تأثیر آنها و طراحی استراتژیهای کاهش استفاده میشود. با این حال، این سیستم بدون چالش نیست. قابل ذکر است که سیستم CVE می تواند در تخصیص شناسه ها به آسیب پذیری های جدید کند باشد و باعث ایجاد شکاف در پوشش شود. علاوه بر این، از آنجایی که CVE اطلاعات شدت یا خطر را ارائه نمی دهد، سازمان ها باید برای این داده ها به منابع دیگر تکیه کنند.
برای رسیدگی به این مسائل، جامعه امنیت سایبری ابزارها و منابع تکمیلی را توسعه داده است. به عنوان مثال، پایگاه داده ملی آسیب پذیری امتیازات شدت و ابرداده های اضافی را برای هر CVE ارائه می کند، در حالی که سازمان هایی مانند CERT/CC و Zero Day Initiative اغلب قبل از تخصیص شناسه CVE، شناسه های موقتی را به آسیب پذیری های جدید اختصاص می دهند.
مقایسه با اصطلاحات مشابه
| مدت، اصطلاح | شرح | مقایسه با CVE |
|---|---|---|
| CVSS | سیستم امتیازدهی آسیب پذیری مشترک (CVSS) راهی برای ثبت ویژگی های اصلی آسیب پذیری و تولید یک امتیاز عددی نشان دهنده شدت آن فراهم می کند. | در حالی که CVE آسیب پذیری ها را شناسایی می کند، CVSS آنها را بر اساس شدت آنها امتیاز می دهد. |
| CWE | Common Weakness Enumeration (CWE) فهرستی از ضعف های رایج امنیتی نرم افزار است که توسط جامعه توسعه یافته است. این زبان به عنوان یک زبان مشترک برای توصیف این نقاط ضعف عمل می کند. | در حالی که CVE آسیبپذیریهای خاصی را شناسایی میکند، CWE انواع ضعفهای امنیتی را توصیف میکند که ممکن است منجر به آسیبپذیری شود. |
چشم اندازهای آینده و فناوری های مرتبط با CVE
همانطور که تهدیدات امنیت سایبری همچنان در حال تکامل هستند، سیستم CVE نیز باید خود را تطبیق دهد. پیشرفتهای آینده سیستم CVE ممکن است شامل شناسایی و گزارشدهی خودکار آسیبپذیری، دامنههای گسترده برای CNA و ادغام با فناوریهای هوش مصنوعی (AI) و یادگیری ماشین (ML) برای تجزیه و تحلیل پیشبینیکننده باشد.
سرورهای پروکسی و CVE
سرورهای پروکسی، مانند سرورهای ارائه شده توسط OneProxy، می توانند هم هدف و هم ابزار در زمینه CVE باشند. به عنوان هدف، آسیبپذیریها در نرمافزار سرور پروکسی ممکن است شناسههای CVE خود را دریافت کنند، اگر خطر امنیتی ایجاد کنند. به عنوان ابزار، سرورهای پروکسی را می توان برای کاهش تأثیر برخی آسیب پذیری ها پیکربندی کرد، به عنوان مثال، با فیلتر کردن ترافیک مخرب مربوط به یک CVE شناخته شده.
