Co je CVE (Common Vulnerabilities and Exposures)?

CVE znamená Common Vulnerabilities and Exposures. Je to systém, který sleduje kybernetické zranitelnosti, které jsou již veřejně známé.

Každý záznam CVE má své vlastní ID, jako například CVE-2024-492881, a vysvětluje konkrétní slabinu v softwaru, hardwaru nebo firmwaru, kterou by útočníci mohli využít k napadení systému.

Program CVE byl spuštěn MITRE Corporation, neziskovou organizací financovanou federální vládou USA, zaměřenou na kybernetickou bezpečnost a technologie. Dnes MITRE nadále spravuje systém CVE pod dohledem CVE Boardu—skupiny, která zahrnuje bezpečnostní experty, dodavatele a globální zainteresované strany. Organizace, dodavatelé, bezpečnostní nástroje a výzkumníci po celém světě používají CVE ke sledování zranitelností a správě záplat.

Proč je CVE důležité v kybernetické bezpečnosti

Před CVE se výzkumníci a organizace spoléhali na oddělené pojmenovací schémata, což ztěžovalo sledování zranitelností napříč různými nástroji a zprávami.

CVE pomáhá tento problém řešit tím, že nabízí:

• Konzistentní identifikátory pro každou zranitelnost
• Centralizovaná viditelnost do globální bezpečnostní databáze
• Snadnější spolupráce mezi dodavateli, výzkumníky a organizacemi zapojenými do kybernetické bezpečnosti.

CVE tvoří základ pro bezpečnostní nástroje jako skenery zranitelností, SCA, ASPM a systémy pro správu záplat, které se spoléhají na CVE ID k detekci a prioritizaci rizik.

Jak CVE funguje?

Každý záznam CVE v databázi zranitelností zahrnuje

• CVE ID - jedinečný identifikátor pro zranitelnost
• Popis - vysvětlení zranitelnosti
• Reference - důvěryhodné externí zdroje, které poskytují podrobné informace o zranitelnosti
• CVSS skóre - hodnocení závažnosti, hodnocení, které vám říká, jak vážná nebo jaký dopad má zranitelnost, pokud je zneužita.

Všechny CVE jsou veřejně uloženy na cve.org a také zrcadleny v Národní databázi zranitelností (NVD), kterou spravuje NIST (National Institute of Standards and Technology), což je neregulační agentura Ministerstva obchodu Spojených států.

Známé vs. Neznámé Zranitelnosti

Známé Zranitelnosti

Zranitelnosti, o kterých jsou bezpečnostní organizace a výzkumníci informováni a mohou poskytnout záplaty k řešení těchto zranitelností.

Známé zranitelnosti jsou často již publikovány v databázích jako CVE nebo NVD.

Příklad:

CVE-2017-5638 — zranitelnost Apache Struts využitá při úniku dat společnosti Equifax (2017).

Neznámé (Zero-Day) Zranitelnosti

Jedná se o neobjevené nebo nezveřejněné chyby; existují v softwaru, ale dosud nejsou zdokumentovány v databázích CVE.

Útočníci je mohou zneužít předtím, než výrobce vydá záplatu. Tato chyba je velmi nebezpečná.

Příklad:

Zranitelnost prohlížeče je využita útočníky předtím, než Google nebo Microsoft vydají opravu.

Související Termíny

• NVD (Národní Databáze Zranitelností)
• CVSS (Systém Hodnocení Zranitelností)
• Zero-Day Zranitelnost
• Exploit
• Správa Záplat
• Správa Zranitelností
• Společný Seznam Slabostí (CWE)

FAQ: CVE