Các lỗ hổng và rủi ro phổ biến (CVE) là một hệ thống tiêu chuẩn để xác định và công bố các lỗ hổng an ninh mạng. Mục đích chính của nó là tạo điều kiện thuận lợi cho việc chia sẻ và phân phối dữ liệu về các lỗ hổng nhằm hỗ trợ các chiến lược phòng thủ tốt hơn và thúc đẩy sự hợp tác trong cộng đồng an ninh mạng.
Lịch sử và nguồn gốc của CVE
Khái niệm CVE bắt nguồn từ cuối những năm 1990 trong cộng đồng bảo mật máy tính, chủ yếu là sáng kiến của MITER Corporation. Hệ thống này được ra mắt vào tháng 9 năm 1999 với Danh sách CVE đầu tiên, một cơ sở dữ liệu về các mã nhận dạng được tiêu chuẩn hóa cho các lỗ hổng an ninh mạng đã biết.
Mục đích ban đầu của CVE là cung cấp một ngôn ngữ chung để thảo luận và chia sẻ thông tin về các lỗ hổng. Trước khi giới thiệu CVE, các nhà cung cấp và nhà nghiên cứu khác nhau đã sử dụng các tên và mô tả khác nhau cho cùng một lỗ hổng, dẫn đến nhầm lẫn và hiểu sai.
Hiểu CVE
Mỗi Mục nhập CVE bao gồm một số nhận dạng, một mô tả và ít nhất một tài liệu tham khảo công khai. Số nhận dạng tuân theo định dạng cụ thể: CVE-YYYY-NNNNN, trong đó “YYYY” là năm ID CVE được chỉ định hoặc lỗ hổng được công khai và “NNNNN” là số duy nhất cho lỗ hổng đó.
Hệ thống CVE không cung cấp bất kỳ thông tin nào về mức độ nghiêm trọng hoặc rủi ro liên quan đến một lỗ hổng cụ thể. Tuy nhiên, nó cung cấp cơ sở cơ sở để các tổ chức khác, như Cơ sở dữ liệu về lỗ hổng quốc gia (NVD), có thể đính kèm siêu dữ liệu bổ sung, chẳng hạn như điểm rủi ro hoặc chỉ số khả năng khai thác.
Cấu trúc bên trong và chức năng của CVE
Hệ thống CVE hoạt động bằng cách gán một mã định danh duy nhất cho mọi lỗ hổng đã biết. Mã định danh này giúp những người thực hiện bảo mật đề cập đến một lỗ hổng cụ thể bằng cách sử dụng một ngôn ngữ chung, hỗ trợ các nỗ lực giảm thiểu.
ID CVE được yêu cầu và chỉ định bởi Cơ quan đánh số CVE (CNA). CNA là các tổ chức từ khắp nơi trên thế giới đã hợp tác với Chương trình CVE để gán ID CVE cho các lỗ hổng ảnh hưởng đến sản phẩm trong phạm vi riêng biệt đã được thống nhất của họ.
Danh sách CVE do MITER duy trì sau đó được cập nhật với các mục mới này. Cơ sở dữ liệu về lỗ hổng bảo mật, như NVD, lấy dữ liệu từ Danh sách CVE để tạo danh sách lỗ hổng chi tiết hơn.
Các tính năng chính của CVE
- Mã định danh được chuẩn hóa: Mỗi CVE ID đề cập đến một lỗ hổng duy nhất, giúp tránh nhầm lẫn khi thảo luận hoặc chia sẻ thông tin về các lỗ hổng.
- Cơ sở dữ liệu có thể truy cập công khai: Danh sách CVE được cung cấp miễn phí cho công chúng, thúc đẩy tính minh bạch và hợp tác.
- Ưng dụng rộng Rai: ID CVE được sử dụng rộng rãi bởi các nhà cung cấp và nhà nghiên cứu an ninh mạng trên toàn thế giới, khiến nó trở thành một tiêu chuẩn được công nhận trên toàn cầu.
- Ngôn ngữ thông dụng: Việc sử dụng một mã định danh chung giúp cải thiện sự phối hợp và cộng tác về an ninh mạng bằng cách cung cấp một cách tiêu chuẩn để thảo luận về các lỗ hổng riêng lẻ.
Các loại CVE
Không có sự phân loại chính thức về các loại CVE, nhưng các lỗ hổng có thể được phân loại dựa trên các tiêu chí khác nhau, chẳng hạn như khu vực chúng tác động (ví dụ: bộ nhớ, hệ điều hành, ứng dụng), cách chúng có thể bị khai thác (ví dụ: từ xa, cục bộ). ) và tác động của chúng (ví dụ: rò rỉ dữ liệu, sự cố hệ thống).
Ví dụ: xem xét cách khai thác lỗ hổng, chúng ta có thể có:
| Vector khai thác | Sự miêu tả |
|---|---|
| Địa phương | Kẻ tấn công cần quyền truy cập vật lý hoặc đặc quyền của người dùng cục bộ để khai thác lỗ hổng |
| Liền kề | Kẻ tấn công phải có quyền truy cập vào cùng mạng với hệ thống mục tiêu để khai thác lỗ hổng |
| Xa | Kẻ tấn công có thể khai thác lỗ hổng trên internet |
CVE được các chuyên gia an ninh mạng sử dụng để xác định các lỗ hổng, đánh giá tác động của chúng và đưa ra các chiến lược giảm thiểu. Tuy nhiên, hệ thống này không phải là không có thách thức. Đáng chú ý, hệ thống CVE có thể chậm gán mã nhận dạng cho các lỗ hổng mới, gây ra lỗ hổng trong phạm vi bảo hiểm. Ngoài ra, vì CVE không cung cấp thông tin về mức độ nghiêm trọng hoặc rủi ro nên các tổ chức phải dựa vào các tài nguyên khác để có dữ liệu này.
Để giải quyết những vấn đề này, cộng đồng an ninh mạng đã phát triển các công cụ và tài nguyên bổ sung. Ví dụ: Cơ sở dữ liệu về lỗ hổng quốc gia cung cấp điểm mức độ nghiêm trọng và siêu dữ liệu bổ sung cho từng CVE, trong khi các tổ chức như CERT/CC và Sáng kiến Zero Day thường gán mã nhận dạng tạm thời cho các lỗ hổng mới trước khi chỉ định ID CVE.
So sánh với các điều khoản tương tự
| Thuật ngữ | Sự miêu tả | So sánh với CVE |
|---|---|---|
| CVSS | Hệ thống chấm điểm lỗ hổng bảo mật thông thường (CVSS) cung cấp một cách để nắm bắt các đặc điểm chính của lỗ hổng bảo mật và tạo ra điểm số thể hiện mức độ nghiêm trọng của lỗ hổng đó. | Trong khi CVE xác định các lỗ hổng, CVSS sẽ chấm điểm chúng dựa trên mức độ nghiêm trọng của chúng. |
| CWE | Bảng liệt kê điểm yếu chung (CWE) là danh sách các điểm yếu bảo mật phần mềm phổ biến do cộng đồng phát triển. Nó phục vụ như một ngôn ngữ chung để mô tả những điểm yếu này. | Trong khi CVE xác định các lỗ hổng cụ thể thì CWE mô tả các loại điểm yếu bảo mật có thể dẫn đến lỗ hổng. |
Quan điểm tương lai và công nghệ liên quan đến CVE
Khi các mối đe dọa an ninh mạng tiếp tục phát triển, hệ thống CVE cũng sẽ cần phải thích ứng. Các cải tiến trong tương lai của hệ thống CVE có thể bao gồm phát hiện và báo cáo lỗ hổng tự động, phạm vi mở rộng cho CNA và tích hợp với công nghệ trí tuệ nhân tạo (AI) và máy học (ML) để phân tích dự đoán.
Máy chủ proxy và CVE
Các máy chủ proxy, giống như các máy chủ do OneProxy cung cấp, có thể vừa là mục tiêu vừa là công cụ trong bối cảnh CVE. Là mục tiêu, các lỗ hổng trong phần mềm máy chủ proxy có thể nhận được ID CVE của riêng chúng nếu chúng gây ra rủi ro bảo mật. Là công cụ, máy chủ proxy có thể được cấu hình để giảm thiểu tác động của một số lỗ hổng, chẳng hạn như bằng cách lọc lưu lượng truy cập độc hại liên quan đến CVE đã biết.
