Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

什么是 CVE?

什么Common Vulnerabilities and Exposures,通常简称为 CVE,是公开披露的计算机系统安全漏洞的列表。 CVE 是一个可以免费下载和使用的公共资源。 此列表可帮助 IT 团队确定其安全工作的优先级、共享信息并主动解决暴露或漏洞的领域。 这样做可以使系统和网络更加安全,并有助于防止破坏性网络攻击。 对 CVE 项目的基本了解和对 CVE 工作原理的概述可以帮助组织更好地利用并为该资源做出贡献。

CVE的背景

CVE 创建于 1999 年,当时大多数网络安全工具都使用自己的数据库和自己的名称来查找漏洞。 由于可用产品的差异如此之大,很难弄清楚不同的数据库何时指的是同一个问题。 这导致了安全覆盖方面的差距,使得很难为不同数据库和工具之间的互操作性创建任何好的系统。

为了解决这些问题,开发了 CVE 以提供通用、标准化的标识。 因此,它解决了这些潜在问题,并使 IT 专业人员能够共享有关漏洞的信息,共同识别和解决这些问题。 因此,它已成为识别漏洞和暴露的行业标准,并得到 CVE 编号机构、CVE 委员会以及许多行业领先的产品和服务的认可。

CVE 的核心是提供参考点,以便不同的产品和服务可以进行通信。 这带来了互操作性和更好的安全覆盖。 此外,它还为评估服务、工具和数据库奠定了基础。

CVE 由 MITRE Corporation 维护,这是一个非营利组织,负责管理支持美国政府机构的联邦政府资助的研发中心。 MITRE 负责维护 CVE 词典和公共网站。 该项目由国土安全部网络安全和基础设施局资助。

谁领导 CVE 工作

CVE 项目的大部分成功都来自于国际网络安全社区的合作努力。 这使得该列表更加全面,进而导致更多人使用与 CVE 兼容的服务和产品。 为 CVE 做出贡献的主要参与者是 CVE 编号机构、CVE 董事会和 CVE 赞助商。

CVE 编号机构 (CNA) 分配 CVE 标识号。 CNA 会获得一组 CVE 编号,以保留并在发现问题时分配。 CNA 一般有 100 人左右,这个群体包括漏洞研究人员; 供应商和项目; 国家和行业 CERTS; 和漏洞赏金计划。

CVE 委员会的任务是确保 CVE 计划满足全球网络安全社区的漏洞识别需求。 它监督 CVE,提供有关 CVE 战略方向的意见,并代表 CVE 进行宣传。 CVE 委员会成员包括网络安全组织、商业安全工具供应商、学术界和研究机构的成员、政府部门和机构的成员以及安全专家。

SVE 赞助商是美国国土安全部网络安全和基础设施安全局。 CISA 负责为 CVE 项目提供资金。

CVE 基础知识

CVE 由一个条目列表组成,每个条目都有一个标识号、一个描述和一个公共参考。 每个 CVE 都列出了一个特定的漏洞或暴露。 根据 CVE 站点,漏洞被定义为软件代码中的错误,使攻击者可以直接访问系统或网络。 这种类型的访问允许攻击者成为具有完全权限的超级用户或系统管理员。 相反,暴露是一个错误,它使攻击者可以间接访问系统或网络。 这种类型的访问允许攻击者收集客户信息以进行销售。

从广义上讲,CVE 项目创建了一个用于识别和组织漏洞和暴露的系统。 创建 CVE 列表的第一步是识别漏洞或暴露。 接下来,CNA 将为该漏洞分配一个 CVE 识别号。 然后,CNA 会编写问题描述并提供参考。 最后,将完成的 CVE 条目添加到 CVE 列表并发布到 CVE 网站。

CVE 为每个特定的暴露或漏洞提供一个唯一的标识符。 值得注意的是,它更像是字典而不是数据库。 每个条目的描述都很简短,不包括技术数据、有关特定影响的信息或有关修复的信息。 相反,该信息可在其他数据库中找到,例如美国国家漏洞数据库 (NVD) 或 CERT/CC 漏洞说明数据库。

CVE 标识符

当提到 CVE 时,人们通常指的是特定的标识号。 这些通用标识符(称为 CVE、CVE ID 或 CVE 编号)允许在讨论或共享有关特定漏洞的信息时保持一致性。 CVE 标识符可以由 CNA 或直接由 MITRE 颁发。 每年分配数千个 CVE ID,一个复杂的项目,如操作系统,可能有数百个 CVE。

任何人都可以识别需要 CVE 标识符的漏洞或暴露——研究人员、供应商,甚至是精明的用户。 事实上,为了鼓励披露缺陷,一些供应商甚至提供“漏洞赏金”。 也就是说,并非所有缺陷都被分配了 CVE。 要分配 CVE ID,问题必须是:

  • 可独立修复,这意味着它可以独立于其他错误来解决
  • 由软件或硬件供应商确认或记录在漏洞报告中
  • 仅影响一个代码库。 如果一个缺陷影响了多个产品,每个产品都会被赋予其自己的 CVE ID。

值得注意的是,为了确保 CVE 列表中的信息不被网络攻击者利用,有时会在发布公共安全公告之前分配 CVE。 一旦发现漏洞,为了降低攻击风险,在开发和测试修复程序之前,它们通常会保密。

最后

CVE 项目是供所有 IT 组织使用的重要资源。 对于研究人员和产品开发人员来说,利用 CVE 条目并使用与 CVE 兼容的产品和服务尤为重要。 此外,始终寻找软件中的漏洞并分享您的组织在使用开源软件时发现的任何漏洞也很重要。 此外,在内部和外部就漏洞进行沟通以帮助防止攻击和有效解决问题也很关键。

虽然 CVE 条目是一个很好的资源,但分析适用于您的组织使用的产品的所有条目是关键。 并非所有问题都适用于所有情况,只要它们适用,就有必要进行漏洞管理以便确定风险的优先级。 通用漏洞评分系统 (CVSS) 是一种流行的方法,用于确定漏洞的严重程度,并随后确定网络安全工作的优先级。 CVSS 提供了为漏洞分配编号或评级的开放标准。 这些数字的范围从 0.0 到 10.0,数字越大,严重程度越高。 使用 CVSS 或类似系统是漏洞管理的一个关键方面,有助于有效地集中网络安全工作。

浏览: 1,023