Common Vulnerabilities and Exposures
Common Vulnerabilities and Exposures (CVE) je referenční seznam veřejně známých zranitelností a ohrožení informační bezpečnosti. CVE byl spuštěn v roce 1999 společností MITRE, aby identifikoval a kategorizoval zranitelnosti v softwaru a firmwaru. [2] Společnost MITRE sponzoruje Ministerstvo vnitřní bezpečnosti USA (DHS) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). Tento seznam umožňuje získat informace o zranitelnostech prostřednictvím unikátního identifikátoru, známého jako CVE ID. [3]
CVE identifikátory
Proces vytváření identifikátoru CVE začíná zjištěním a nahlášením potenciální bezpečnostní chyby. CVE Numbering Authority (CNA) následně této informaci přiřadí CVE identifikátor (jedná se o unikátní kód ve formátu CVE-rok-pořadové číslo identifikátoru), který je zveřejněn na CVE seznamu. Společnost MITRE spravuje celý CVE seznam, zatímco CVE redakční rada se stará o aktualizaci standardů a celkový směr programu. [4] Existuje okolo sta CNA, mezi nimiž jsou bezpečnostní firmy, výzkumné organizace a IT dodavatelé, jako jsou Red Hat, IBM, Cisco, Oracle a Microsoft. [5] Dále jsou zjištěny bližší detaily o zranitelnosti (zahrnují například typ zranitelnosti, verzi, hlavní příčinu nebo dopad). Jakmile je v záznamu shromážděn dostatek informací, je zveřejněn příslušnou složkou CNA na veřejný CVE seznam identifikátorů. [6]
Minimální požadavky pro zveřejnění CVE záznamu [7]
- Identifikační číslo CVE (např. „CVE-1999-0067“, „CVE-2014-100001“)
- Popis bezpečnostní chyby nebo ohrožení
- Relevantní odkazy (upozornění, zprávy o zranitelnosti)
- Dodatečné produkty a verze
Využití
Systém CVE slouží k standardizovanému označování a sledování zranitelností napříč různými organizacemi a bezpečnostními nástroji. [8] Tato standardizace je využívána při zjišťování bezpečnostních hrozeb. NVD doplňuje identifikátory dalšími údaji, jako je skóre CVSS, kategorizace CWE a kompatibilita CPE. Tyto informace slouží k hodnocení kybernetických rizik a identifikaci ohrožených systémů. [9]
Common Vulnerability Scoring System
CVSS je metoda měření závažnosti zranitelností, známá také jako CVE skóre. Hodnotu CVSS vypočítává NVD a používá stupnici od 0 do 10. [10] NVD podporuje verze systému CVSS v2.0, v3.x a v4.0 a poskytuje kalkulátory pro každou z nich.
| Hodnota CVSS | Úroveň závažnosti zranitelnosti |
|---|---|
| 0 | žádná |
| 0.1-3.9 | nízká |
| 4.0-6.9 | střední |
| 7.0-8.9 | vysoká |
| 9.0-10.0 | kritická |
Reference
- ↑ CVE Logo [online]. CVE [cit. 2024-11-07]. Dostupné online.
- ↑ What is a CVE? Common Vulnerabilities and Exposures Explained | UpGuard. www.upguard.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
- ↑ NVD - CVEs and the NVD Process. nvd.nist.gov [online]. [cit. 2024-11-07]. Dostupné online.
- ↑ Common Vulnerabilities and Exposures [online]. CVE [cit. 2024-11-07]. Dostupné online.
- ↑ What is a CVE?. www.redhat.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
- ↑ CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupné online.
- ↑ CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupné online.
- ↑ What is CVE?. www.lacework.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
- ↑ NVD - CVEs and the NVD Process. nvd.nist.gov [online]. [cit. 2024-11-07]. Dostupné online.
- ↑ What is CVE and CVSS | Vulnerability Scoring Explained | Imperva [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
- ↑ NVD - Vulnerability Metrics. nvd.nist.gov [online]. [cit. 2024-11-07]. Dostupné online.
