Common Vulnerabilities and Exposures (CVE) to standardowy system identyfikacji i publikacji luk w zabezpieczeniach cyberbezpieczeństwa. Jego głównym celem jest ułatwienie udostępniania i dystrybucji danych o lukach w zabezpieczeniach, aby umożliwić lepsze strategie obronne i wspierać współpracę w społeczności zajmującej się cyberbezpieczeństwem.
Historia i geneza CVE
Koncepcja CVE powstała pod koniec lat 90. XX wieku w społeczności zajmującej się bezpieczeństwem komputerowym, głównie z inicjatywy korporacji MITRE. System został uruchomiony we wrześniu 1999 r. wraz z pierwszą listą CVE – bazą danych zawierającą standardowe identyfikatory znanych luk w zabezpieczeniach cyberbezpieczeństwa.
Pierwotnym celem CVE było zapewnienie wspólnego języka do dyskusji i wymiany informacji na temat luk w zabezpieczeniach. Przed wprowadzeniem CVE różni dostawcy i badacze używali różnych nazw i opisów tych samych luk, co prowadziło do zamieszania i nieporozumień.
Zrozumienie CVE
Każdy wpis CVE zawiera numer identyfikacyjny, opis i co najmniej jedno publiczne odniesienie. Numer identyfikacyjny ma określony format: CVE-YYYY-NNNNN, gdzie „YYYY” to rok nadania identyfikatora CVE lub upublicznienia luki, a „NNNNN” to unikalny numer tej luki.
System CVE nie dostarcza żadnych informacji na temat wagi i ryzyka związanego z konkretną luką. Zapewnia jednak punkt odniesienia, wokół którego inne organizacje, takie jak Krajowa baza danych podatności na ataki (NVD), mogą dołączać dodatkowe metadane, takie jak oceny ryzyka lub wskaźniki możliwości wykorzystania.
Struktura wewnętrzna i funkcjonalność CVE
System CVE działa w ten sposób, że każdej znanej podatności przypisuje unikalny identyfikator. Identyfikator ten pomaga specjalistom ds. bezpieczeństwa odnieść się do konkretnej luki w zabezpieczeniach przy użyciu wspólnego języka, co pomaga w wysiłkach zaradczych.
Identyfikatory CVE są wymagane i przydzielane przez organy numerujące CVE (CNA). CNA to organizacje z całego świata, które nawiązały współpracę z programem CVE w celu przypisywania identyfikatorów CVE do luk w zabezpieczeniach wpływających na produkty w ich odrębnym, uzgodnionym zakresie.
Lista CVE prowadzona przez MITRE jest następnie aktualizowana o te nowe wpisy. Bazy danych o lukach w zabezpieczeniach, takie jak NVD, pobierają dane z listy CVE w celu utworzenia bardziej szczegółowych list luk w zabezpieczeniach.
Kluczowe cechy CVE
- Standaryzowane identyfikatory: Każdy identyfikator CVE odnosi się do unikalnej luki, co pozwala uniknąć nieporozumień podczas omawiania lub udostępniania informacji na temat luk.
- Publicznie dostępna baza danych: Lista CVE jest ogólnodostępna, co sprzyja przejrzystości i współpracy.
- Powszechne przyjęcie: Identyfikatory CVE są szeroko stosowane przez dostawców i badaczy cyberbezpieczeństwa na całym świecie, co czyni je standardem uznawanym na całym świecie.
- Wspólny język: Zastosowanie wspólnego identyfikatora pomaga poprawić koordynację i współpracę w zakresie cyberbezpieczeństwa, zapewniając standardowy sposób omawiania poszczególnych luk w zabezpieczeniach.
Rodzaje CVE
Nie ma formalnej klasyfikacji typów CVE jako takich, ale luki można klasyfikować na podstawie różnych kryteriów, takich jak obszar, na który wpływają (np. pamięć, system operacyjny, aplikacja), sposób, w jaki można je wykorzystać (np. zdalne, lokalne ) oraz ich wpływ (np. wyciek danych, awaria systemu).
Na przykład, patrząc na to, jak można wykorzystać luki w zabezpieczeniach, możemy mieć:
| Wektor eksploatacji | Opis |
|---|---|
| Lokalny | Aby wykorzystać tę lukę, osoba atakująca potrzebuje dostępu fizycznego lub uprawnień użytkownika lokalnego |
| Przylegający | Aby wykorzystać lukę, osoba atakująca musi mieć dostęp do tej samej sieci co system docelowy |
| Zdalny | Osoba atakująca może wykorzystać tę lukę z poziomu Internetu |
CVE są wykorzystywane przez specjalistów ds. cyberbezpieczeństwa do identyfikowania luk w zabezpieczeniach, oceny ich wpływu i opracowywania strategii łagodzenia. Jednak system ten nie jest pozbawiony wyzwań. Warto zauważyć, że system CVE może wolno przypisywać identyfikatory nowym lukom, co powoduje luki w zasięgu. Ponadto, ponieważ CVE nie dostarcza informacji o wadze ani ryzyku, organizacje muszą polegać na innych zasobach w zakresie tych danych.
Aby rozwiązać te problemy, społeczność zajmująca się cyberbezpieczeństwem opracowała uzupełniające narzędzia i zasoby. Na przykład Krajowa baza danych o lukach zapewnia ocenę ważności i dodatkowe metadane dla każdego CVE, podczas gdy organizacje takie jak CERT/CC i Zero Day Initiative często przypisują tymczasowe identyfikatory nowym lukom przed przypisaniem identyfikatora CVE.
Porównanie z podobnymi terminami
| Termin | Opis | Porównanie z CVE |
|---|---|---|
| CVSS | Common Vulnerability Scoring System (CVSS) umożliwia uchwycenie głównych cech luki w zabezpieczeniach i utworzenie wyniku liczbowego reprezentującego jej wagę. | Podczas gdy CVE identyfikuje luki, CVSS ocenia je na podstawie ich wagi. |
| CWE | Common Weakness Enumeration (CWE) to opracowana przez społeczność lista typowych słabych punktów w zabezpieczeniach oprogramowania. Służy jako wspólny język do opisu tych słabości. | Podczas gdy CVE identyfikuje konkretne luki, CWE opisuje typy słabości bezpieczeństwa, które mogą prowadzić do luk. |
Przyszłe perspektywy i technologie związane z CVE
W miarę ewolucji zagrożeń cyberbezpieczeństwa system CVE również będzie musiał się dostosować. Przyszłe ulepszenia systemu CVE mogą obejmować automatyczne wykrywanie i raportowanie luk w zabezpieczeniach, rozszerzone zakresy CNA oraz integrację z technologiami sztucznej inteligencji (AI) i uczenia maszynowego (ML) na potrzeby analizy predykcyjnej.
Serwery proxy i CVE
Serwery proxy, takie jak te dostarczane przez OneProxy, mogą być zarówno celami, jak i narzędziami w kontekście CVE. Jako cele luki w oprogramowaniu serwera proxy mogą otrzymać własne identyfikatory CVE, jeśli stanowią zagrożenie bezpieczeństwa. Jako narzędzia, serwery proxy można skonfigurować tak, aby łagodzić wpływ niektórych luk, na przykład poprzez filtrowanie złośliwego ruchu powiązanego ze znanym CVE.
