Common Vulnerabilities and Exposures (CVE) — это список публично раскрытых уязвимостей информационной безопасности.
CVE была запущена в 1999 году корпорацией MITRE для выявления и классификации уязвимостей в программном обеспечении и микропрограммах. CVE предоставляет организациям бесплатный список для повышения их кибербезопасности. MITRE — некоммерческая организация, управляющая научно-исследовательскими центрами в США, финансируемыми из федерального бюджета.
Чем опасны уязвимости?
Уязвимость — это недостаток или недоработка в программном обеспечении, которую можно использовать в кибератаке для получения несанкционированного доступа или выполнения несанкционированных действий в компьютерной системе. Уязвимости могут позволить злоумышленникам запускать код, получать доступ к системной памяти, устанавливать различные типы вредоносных программ и красть, уничтожать или изменять конфиденциальные данные.
Разоблачение — это ошибка, которая дает злоумышленнику доступ к системе или сети. Разоблачение может привести к утечке данных и продаже личной информации в даркнете.
Фактически, некоторые из крупнейших утечек данных были вызваны случайным раскрытием информации, а не изощренными кибератаками.
Какова цель CVE?
Цель CVE — упростить обмен информацией об известных уязвимостях, чтобы стратегии кибербезопасности могли быть обновлены с учетом последних недостатков безопасности и проблем безопасности.
CVE делает это, создавая стандартизированный идентификатор для данной уязвимости или воздействия. Идентификаторы CVE (также называемые именами CVE или номерами CVE) позволяют специалистам по безопасности получать доступ к информации о конкретных киберугрозах из нескольких источников информации, используя одно и то же общее имя.
Компании, которые предоставляют решения для информационной безопасности, часто выпускают продукты, совместимые с CVE, и их отчеты ссылаются на идентификаторы CVE. Это позволяет найти информацию об исправлениях в любой базе данных уязвимостей, совместимой с CVE.
Что такое Общая система оценки уязвимостей (CVSS)?
Общая система оценки уязвимостей (CVSS) представляет собой набор открытых стандартов для присвоения номера уязвимости для оценки ее серьезности. Оценки CVSS используются разработчиками решений для информационной безопасности для оценки воздействия уязвимости.
Оценка CVSS колеблется от 0,0 до 10,0. Чем выше число, тем выше степень серьезности опасности.
Кто управляет CVE?
MITRE поддерживает список CVE и веб-сайт CVE, а также программу совместимости CVE. Программа совместимости CVE способствует использованию стандартных идентификаторов CVE, выдаваемых уполномоченными органами нумерации CVE (CNA).
Кто спонсирует CVE?
CVE спонсируется Министерством внутренней безопасности США (DHS), Агентством кибербезопасности и безопасности инфраструктуры (CISA) и US-CERT.
Каковы преимущества использования CVE?
База данных CVE позволяет организациям установить базовый уровень для оценки охвата своих инструментов безопасности. Общие идентификаторы CVE позволяют организациям видеть, что охватывает каждый инструмент и насколько они подходят для вашей организации.
Рекомендации по безопасности могут ссылаться на информацию об уязвимостях CVE для поиска известных сигнатур атак и устранения критических эксплойтов в рамках любого процесса цифровой криминалистики.
Ищите инструменты безопасности, совместимые с CVE, а не проприетарные оценки уязвимостей. Это отличный способ снизить риск для кибербезопасности вашей организации.
Является ли CVE базой данных уязвимостей?
CVE не является базой данных уязвимостей. CVE позволяет связывать между собой базы данных уязвимостей и другие инструменты. Это также облегчает сравнение между инструментами и службами безопасности.
Например, Национальная база данных уязвимостей США (NVD) использует идентификаторы списка CVE и включает информацию об исправлениях, оценках и другую информацию.
Содержится ли в базе данных CVE все известные уязвимости и риски?
CVE не перечисляет все известные уязвимости и риски. Цель CVE — быть всеобъемлющей, и так оно и есть. Учитывая масштабы уязвимостей, одна система, скорее всего, не сможет содержать все.
Кто-нибудь может использовать CVE?
Да, CVE является бесплатным и общедоступным. CVE позволяет любому сопоставлять данные между различными уязвимостями, инструментами безопасности, репозиториями и службами.
Любой может искать, загружать, копировать, распространять, ссылаться и анализировать CVE, если он не изменяет какую-либо информацию.
Что такое запись CVE?
Запись CVE описывает известную уязвимость или незащищенность.
Каждая запись CVE содержит стандартный идентификационный номер с индикатором состояния (например, «CVE-1999-0065», «CVE-2014-13345», «CVE-2016-7454321»), краткое описание и ссылки на соответствующие отчеты об уязвимостях и рекомендации.
Каждый идентификатор CVE имеет формат CVE-YYYY-NNNNN. Часть YYYY — это год, когда был присвоен CVE ID, или год, когда уязвимость была обнародована.
В отличие от баз данных уязвимостей, записи CVE не включают риски, исправления или другую техническую информацию.
Могут ли хакеры использовать CVE для атаки на мою организацию?
Короткий ответ — да, но многие специалисты по кибербезопасности считают, что преимущества CVE перевешивают риски:
- CVE ограничивается общеизвестными уязвимостями и рисками.
- Это улучшает возможность обмена уязвимостями и воздействиями в сообществе кибербезопасности.
- Организациям необходимо защитить себя и свои сети, исправив все потенциальные уязвимости и риски, в то время как злоумышленнику достаточно найти одну уязвимость и использовать ее для получения несанкционированного доступа. Вот почему список известных уязвимостей так ценен и является важной частью сетевой безопасности.
- Соглашение сообщества кибербезопасности об обмене информацией снижает количество многих кибератак. Это находит отражение в широко распространенном признании того, что Совет CVE и органы нумерации CVE (CNA) являются ключевыми организациями в области кибербезопасности.
В качестве конкретного примера, многие считают, что программа - вымогатель WannaCry, которая распространяется через уязвимость EternalBlue, оказала бы меньшее влияние, если бы эта уязвимость была общедоступна.
Что такое Совет CVE?
Совет CVE состоит из организаций по кибербезопасности, включая поставщиков инструментов безопасности, научных кругов, исследовательских институтов, государственных ведомств и агентств, экспертов по безопасности и конечных пользователей информации об уязвимостях.
Совет CVE предоставляет важную информацию об источниках данных, охвате продуктов, целях охвата, операционной структуре и стратегическом направлении программы CVE.
Что такое CNA?
Центры нумерации CVE (CNA) — это организации, которые определяют и распространяют идентификационные номера CVE среди исследователей и поставщиков для включения в публичные объявления о новых уязвимостях. К CNA относятся поставщики программного обеспечения, проекты с открытым исходным кодом, координационные центры, поставщики услуг по поиску ошибок и исследовательские группы.
CNA — это федеративные системы, которые помогают выявлять уязвимости и присваивать им идентификатор без прямого участия MITRE, который является основным CNA.
Какие организации относятся к CNA?
В настоящее время существует 104 CNA в 18 странах, включая многие известные имена, такие как Microsoft, Adobe, Apple, Cisco, Google, Hewlett Packard Enterprise, Huawei, IBM, Intel, Mozilla, Oracle, Red Hat, Siemens, Elastic, GitHub, Kubernetes.
Что такое корневой CNA?
MITRE служит основным CNA, в то время как корневые CNA покрывают определенную область или нишу.
Во многих случаях корневой CNA — это когда крупная компания, такая как Apple, публикует уязвимости в своих продуктах. В других случаях корневой CNA может быть сосредоточен на уязвимостях с открытым исходным кодом.
Где находится последняя версия списка CVE?
Последнюю версию списка CVE всегда можно найти на cve.mitre.org. Хотя список CVE предоставляется бесплатно, без дополнительных инструментов бывает сложно определить, какие уязвимости затрагивают вашу организацию. Вот почему многие организации сейчас используют инструменты, которые отслеживают изменения в списке CVE, влияющие на них.
Новые идентификаторы CVE добавляются ежедневно. Ищите сложные инструменты, которые автоматически контролируют вас и ваших поставщиков на наличие уязвимостей. Управление рисками третьих сторон и рисками четвертых сторон является фундаментальной частью управления информационными рисками и вашей политики информационной безопасности. Сделайте управление уязвимостями частью системы управления рисками вашего поставщика, сторонней системы управления рисками и процессов оценки рисков для кибербезопасности.
Как уязвимость добавляется в CVE?
CVE добавляются, когда исследователь обнаруживает недостаток или недоработку в программном обеспечении или прошивке. Поставщику не обязательно рассматривать это как уязвимость, чтобы он был указан как CVE. Тем не менее, от исследователя может потребоваться предоставить доказательства того, как это могло быть использовано как часть эксплойта.
Чем важнее претензия, тем больше вероятность того, что она будет добавлена в CVE и тем выше вероятность того, что она будет иметь высокий балл Общей системы оценки уязвимостей в базах данных уязвимостей.
Потенциальные CVE, о которых сообщают известные поставщики или другие доверенные стороны, обычно быстро добавляются в список CVE.
Важно отметить, что не только кибератаки влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.