Kerentanan dan Pendedahan Biasa (CVE) ialah sistem standard untuk mengenal pasti dan menerbitkan kelemahan keselamatan siber. Tujuan utamanya adalah untuk memudahkan perkongsian dan pengedaran data tentang kelemahan bagi membolehkan strategi pertahanan yang lebih baik dan memupuk kerjasama dalam komuniti keselamatan siber.
Sejarah dan Kejadian CVE
Konsep CVE berasal pada akhir 1990-an dalam komuniti keselamatan komputer, terutamanya sebagai inisiatif Perbadanan MITER. Sistem ini telah dilancarkan pada September 1999 dengan Senarai CVE yang pertama, pangkalan data pengecam piawai untuk kelemahan keselamatan siber yang diketahui.
Tujuan asal CVE adalah untuk menyediakan bahasa yang sama untuk membincangkan dan berkongsi maklumat tentang kelemahan. Sebelum pengenalan CVE, vendor dan penyelidik yang berbeza menggunakan nama dan perihalan yang berbeza untuk kelemahan yang sama, yang membawa kepada kekeliruan dan salah komunikasi.
Memahami CVE
Setiap Penyertaan CVE termasuk nombor pengenalan, perihalan dan sekurang-kurangnya satu rujukan awam. Nombor pengenalan mengikut format tertentu: CVE-YYYY-NNNNN, dengan "YYYY" ialah tahun ID CVE diberikan atau kerentanan didedahkan kepada umum dan "NNNNN" ialah nombor unik untuk kerentanan itu.
Sistem CVE tidak memberikan sebarang maklumat tentang keterukan atau risiko yang berkaitan dengan kelemahan tertentu. Walau bagaimanapun, ia menyediakan garis dasar di mana organisasi lain, seperti Pangkalan Data Kerentanan Kebangsaan (NVD), boleh melampirkan metadata tambahan, seperti skor risiko atau indeks kebolehgunaan.
Struktur Dalaman dan Kefungsian CVE
Sistem CVE berfungsi dengan memberikan pengecam unik kepada setiap kelemahan yang diketahui. Pengecam ini membantu pengamal keselamatan merujuk kepada kelemahan tertentu menggunakan bahasa biasa, yang membantu dalam usaha pengurangan.
ID CVE diminta daripada dan diberikan oleh Pihak Berkuasa Penomboran CVE (CNA). CNA ialah organisasi dari seluruh dunia yang telah bekerjasama dengan Program CVE untuk memperuntukkan ID CVE kepada kelemahan yang mempengaruhi produk dalam skop yang berbeza dan dipersetujui.
Senarai CVE, yang diselenggara oleh MITRE, kemudian dikemas kini dengan entri baharu ini. Pangkalan data kerentanan, seperti NVD, menarik data daripada Senarai CVE untuk membuat penyenaraian kerentanan yang lebih terperinci.
Ciri-ciri Utama CVE
- Pengecam Standard: Setiap ID CVE merujuk kepada kerentanan unik, yang mengelakkan kekeliruan apabila membincangkan atau berkongsi maklumat tentang kelemahan.
- Pangkalan Data Boleh Akses Umum: Senarai CVE tersedia secara percuma kepada orang ramai, memupuk ketelusan dan kerjasama.
- Penerimaan meluas: ID CVE digunakan secara meluas oleh vendor dan penyelidik keselamatan siber di seluruh dunia, menjadikannya standard yang diiktiraf di peringkat global.
- Bahasa biasa: Penggunaan pengecam biasa membantu meningkatkan koordinasi dan kerjasama keselamatan siber dengan menyediakan cara standard untuk membincangkan kelemahan individu.
Jenis CVE
Tiada klasifikasi rasmi jenis CVE per se, tetapi kelemahan boleh diklasifikasikan berdasarkan kriteria yang berbeza, seperti kawasan yang mereka impak (cth, memori, OS, aplikasi), bagaimana ia boleh dieksploitasi (cth, jauh, tempatan ), dan kesannya (cth, kebocoran data, ranap sistem).
Sebagai contoh, melihat bagaimana kelemahan boleh dieksploitasi, kita boleh mempunyai:
| Vektor Eksploitasi | Penerangan |
|---|---|
| Tempatan | Penyerang memerlukan akses fizikal atau keistimewaan pengguna setempat untuk mengeksploitasi kelemahan |
| Bersebelahan | Penyerang mesti mempunyai akses kepada rangkaian yang sama dengan sistem sasaran untuk mengeksploitasi kelemahan |
| Jauh | Penyerang boleh mengeksploitasi kelemahan dari seluruh internet |
CVE digunakan oleh profesional keselamatan siber untuk mengenal pasti kelemahan, menilai kesannya dan merangka strategi pengurangan. Walau bagaimanapun, sistem ini bukan tanpa cabarannya. Terutamanya, sistem CVE boleh menjadi lambat untuk menetapkan pengecam kepada kelemahan baharu, menyebabkan jurang dalam liputan. Selain itu, memandangkan CVE tidak memberikan maklumat keterukan atau risiko, organisasi mesti bergantung pada sumber lain untuk data ini.
Untuk menangani isu ini, komuniti keselamatan siber telah membangunkan alat dan sumber pelengkap. Sebagai contoh, Pangkalan Data Kerentanan Kebangsaan menyediakan skor keterukan dan metadata tambahan untuk setiap CVE, manakala organisasi seperti CERT/CC dan Zero Day Initiative sering memberikan pengecam sementara kepada kelemahan baharu sebelum ID CVE diberikan.
Perbandingan dengan Istilah Serupa
| Penggal | Penerangan | Perbandingan dengan CVE |
|---|---|---|
| CVSS | Sistem Pemarkahan Kerentanan Biasa (CVSS) menyediakan cara untuk menangkap ciri utama kelemahan dan menghasilkan skor berangka yang mewakili keterukannya. | Walaupun CVE mengenal pasti kelemahan, CVSS menilainya berdasarkan keterukan mereka. |
| CWE | Common Weakness Enumeration (CWE) ialah senarai kelemahan keselamatan perisian biasa yang dibangunkan komuniti. Ia berfungsi sebagai bahasa umum untuk menggambarkan kelemahan ini. | Walaupun CVE mengenal pasti kelemahan tertentu, CWE menerangkan jenis kelemahan keselamatan yang mungkin membawa kepada kelemahan. |
Perspektif dan Teknologi Masa Depan Berkaitan dengan CVE
Memandangkan ancaman keselamatan siber terus berkembang, sistem CVE juga perlu menyesuaikan diri. Penambahbaikan pada masa hadapan pada sistem CVE mungkin termasuk pengesanan dan pelaporan kelemahan automatik, skop diperluas untuk CNA dan penyepaduan dengan teknologi kecerdasan buatan (AI) dan pembelajaran mesin (ML) untuk analisis ramalan.
Pelayan Proksi dan CVE
Pelayan proksi, seperti yang disediakan oleh OneProxy, boleh menjadi kedua-dua sasaran dan alatan dalam konteks CVE. Sebagai sasaran, kelemahan dalam perisian pelayan proksi mungkin menerima ID CVE mereka sendiri jika ia menimbulkan risiko keselamatan. Sebagai alat, pelayan proksi boleh dikonfigurasikan untuk mengurangkan kesan beberapa kelemahan, contohnya, dengan menapis trafik berniat jahat yang berkaitan dengan CVE yang diketahui.
