Common Vulnerabilities and Exposures (CVE) — це стандартна система для ідентифікації та публікації вразливостей кібербезпеки. Його головна мета — сприяти обміну та розповсюдженню даних про вразливості, щоб уможливити кращі стратегії захисту та сприяти співпраці в рамках спільноти кібербезпеки.
Історія та генезис CVE
Концепція CVE виникла наприкінці 1990-х років у спільноті комп’ютерної безпеки, головним чином як ініціатива корпорації MITRE. Система була запущена у вересні 1999 року з першим списком CVE, базою даних стандартизованих ідентифікаторів відомих вразливостей кібербезпеки.
Початкова мета CVE полягала в тому, щоб забезпечити спільну мову для обговорення та обміну інформацією про вразливості. До впровадження CVE різні постачальники та дослідники використовували різні назви та описи для тих самих вразливостей, що призводило до плутанини та неправильного розуміння.
Розуміння CVE
Кожен запис CVE містить ідентифікаційний номер, опис і принаймні одне загальнодоступне посилання. Ідентифікаційний номер має певний формат: CVE-YYYY-NNNNN, де «YYYY» — рік призначення CVE ID або оприлюднення вразливості, а «NNNNN» — унікальний номер цієї вразливості.
Система CVE не надає жодної інформації про серйозність або ризик, пов’язаний з конкретною вразливістю. Однак він забезпечує базову лінію, навколо якої інші організації, як-от Національна база даних уразливостей (NVD), можуть додавати додаткові метадані, такі як показники ризику або індекси придатності до використання.
Внутрішня структура та функціональні можливості CVE
Система CVE працює, призначаючи унікальний ідентифікатор кожній відомій вразливості. Цей ідентифікатор допомагає фахівцям із безпеки посилатися на конкретну вразливість, використовуючи спільну мову, що допомагає в зусиллях із пом’якшення.
Ідентифікатори CVE запитуються та призначаються органами нумерації CVE (CNA). CNA — це організації з усього світу, які співпрацюють із програмою CVE, щоб призначити ідентифікатори CVE уразливостям, що впливають на продукти в рамках їх окремої узгодженої сфери.
Список CVE, який підтримується MITRE, потім оновлюється цими новими записами. Бази даних уразливостей, такі як NVD, отримують дані зі списку CVE для створення більш детальних списків уразливостей.
Основні характеристики CVE
- Стандартизовані ідентифікатори: Кожен ідентифікатор CVE відноситься до унікальної вразливості, що дозволяє уникнути плутанини під час обговорення або обміну інформацією про вразливості.
- Загальнодоступна база даних: Список CVE є у вільному доступі для громадськості, що сприяє прозорості та співпраці.
- Широке застосування: Ідентифікатори CVE широко використовуються постачальниками кібербезпеки та дослідниками в усьому світі, що робить його всесвітньо визнаним стандартом.
- Загальна мова: Використання спільного ідентифікатора допомагає покращити координацію та співпрацю з питань кібербезпеки, забезпечуючи стандартний спосіб обговорення окремих вразливостей.
Типи CVE
Немає формальної класифікації типів CVE як таких, але вразливості можна класифікувати на основі різних критеріїв, таких як область, на яку вони впливають (наприклад, пам’ять, ОС, програма), способи їх використання (наприклад, віддалені, локальні) ), а також їхній вплив (наприклад, витік даних, збій системи).
Наприклад, дивлячись на те, як можна використовувати вразливості, ми можемо мати:
| Вектор експлуатації | опис |
|---|---|
| Місцевий | Щоб скористатися вразливістю, зловмиснику потрібен фізичний доступ або повноваження локального користувача |
| Прилеглий | Щоб скористатися вразливістю, зловмисник повинен мати доступ до тієї ж мережі, що й цільова система |
| Дистанційний | Зловмисник може використати вразливість через Інтернет |
CVE використовуються фахівцями з кібербезпеки для виявлення вразливостей, оцінки їх впливу та розробки стратегій пом’якшення. Однак ця система не позбавлена проблем. Примітно, що система CVE може повільно призначати ідентифікатори новим уразливостям, що спричиняє розрив у охопленні. Крім того, оскільки CVE не надає інформації про серйозність або ризик, організації повинні покладатися на інші ресурси для отримання цих даних.
Щоб вирішити ці проблеми, спільнота кібербезпеки розробила додаткові інструменти та ресурси. Наприклад, національна база даних про вразливості надає оцінки серйозності та додаткові метадані для кожного CVE, тоді як організації, такі як CERT/CC та Zero Day Initiative, часто призначають тимчасові ідентифікатори новим вразливостям до призначення ідентифікатора CVE.
Порівняння з подібними термінами
| термін | опис | Порівняння з CVE |
|---|---|---|
| CVSS | Загальна система оцінки вразливості (CVSS) надає спосіб охопити основні характеристики вразливості та отримати числову оцінку, що відображає її серйозність. | Хоча CVE визначає вразливості, CVSS оцінює їх на основі серйозності. |
| CWE | Common Weakness Enumeration (CWE) — це список поширених недоліків безпеки програмного забезпечення, розроблений спільнотою. Він служить загальною мовою для опису цих недоліків. | Хоча CVE визначає конкретні вразливості, CWE описує типи слабких місць безпеки, які можуть призвести до вразливостей. |
Майбутні перспективи та технології, пов’язані з CVE
Оскільки загрози кібербезпеці продовжують розвиватися, система CVE також потребуватиме адаптації. Майбутні вдосконалення системи CVE можуть включати автоматичне виявлення вразливостей і звітування, розширені області для CNA та інтеграцію з технологіями штучного інтелекту (AI) і машинного навчання (ML) для прогнозного аналізу.
Проксі-сервери та CVE
Проксі-сервери, як і ті, що надаються OneProxy, можуть бути як цілями, так і інструментами в контексті CVE. Уразливості в програмному забезпеченні проксі-сервера можуть отримувати власні ідентифікатори CVE як цілі, якщо вони становлять загрозу безпеці. Як інструменти проксі-сервери можна налаштувати для пом’якшення впливу деяких вразливостей, наприклад, шляхом фільтрації зловмисного трафіку, пов’язаного з відомою CVE.
