Mikä on CVE (Common Vulnerabilities and Exposures)?

CVE tarkoittaa Common Vulnerabilities and Exposures eli yleisiä haavoittuvuuksia ja altistuksia. Se on järjestelmä, joka seuraa julkisesti tunnettuja kyberturvallisuuden haavoittuvuuksia.

Jokaisella CVE-tietueella on oma ID, kuten CVE-2024-492881, ja se selittää tietyn heikkouden ohjelmistossa, laitteistossa tai laiteohjelmistossa, jota hyökkääjät voisivat käyttää järjestelmän hyväksikäyttöön.

CVE-ohjelman käynnisti MITRE Corporation, Yhdysvaltain liittovaltion rahoittama voittoa tavoittelematon organisaatio, joka keskittyy kyberturvallisuuteen ja teknologiaan. Nykyään MITRE jatkaa CVE-järjestelmän hallintaa CVE-hallituksen valvonnassa, johon kuuluu turvallisuusasiantuntijoita, toimittajia ja maailmanlaajuisia sidosryhmiä. Organisaatiot, toimittajat, turvallisuustyökalut ja tutkijat ympäri maailmaa käyttävät CVE

haavoittuvuuksien seuraamiseen ja korjausten hallintaan.

Miksi CVE on tärkeä kyberturvallisuudessa

Ennen CVE

tutkijat ja organisaatiot luottivat erillisiin nimeämisjärjestelmiin, mikä teki vaikeaksi seurata haavoittuvuuksia eri työkalujen ja raporttien välillä.

CVE auttaa ratkaisemaan tämän ongelman tarjoamalla:

• Yhtenäiset tunnisteet jokaiselle haavoittuvuudelle
• Keskitetty näkyvyys globaaliin tietoturvatietokantaan
• Helpompi yhteistyö myyjien, tutkijoiden ja kyberturvallisuuteen osallistuvien organisaatioiden kesken.

CVE muodostaa perustan tietoturvatyökaluille, kuten haavoittuvuusskannereille, SCA, ASPM ja päivitysten hallintajärjestelmille, jotka luottavat CVE-tunnuksiin riskien havaitsemiseksi ja priorisoimiseksi.

Miten CVE toimii?

Jokainen CVE-tietue haavoittuvuustietokannassa sisältää

• CVE-tunnuksen - ainutlaatuinen tunniste haavoittuvuudelle
• Kuvaus - selitys haavoittuvuudesta
• Viitteet - luotettavat ulkoiset lähteet, jotka tarjoavat yksityiskohtaista tietoa haavoittuvuudesta
• CVSS-pisteet - vakavuusluokitus, joka kertoo kuinka vakava tai vaikuttava haavoittuvuus on, jos se hyödynnetään.

Kaikki CVE

tallennetaan julkisesti osoitteessa cve.org, ja ne peilataan myös National Vulnerability Database (NVD) -tietokantaan, jota ylläpitää NIST (National Institute of Standards and Technology), joka on Yhdysvaltain kauppaministeriön säätelemätön virasto.

Tunnetut vs. tuntemattomat haavoittuvuudet

Tunnetut haavoittuvuudet

Haavoittuvuudet, joista tietoturvaorganisaatiot ja tutkijat ovat tietoisia ja joihin voidaan tarjota korjauksia haavoittuvuuksien korjaamiseksi.

Tunnetut haavoittuvuudet on usein jo julkaistu tietokannoissa, kuten CVE tai NVD.

Esimerkki:

CVE-2017-5638 — Apache Struts -haavoittuvuus, jota käytettiin hyväksi Equifaxin tietomurrossa (2017).

Tuntemattomat (nollapäivä) haavoittuvuudet

Nämä ovat löytämättömiä tai julkistamattomia virheitä; ne ovat olemassa ohjelmistossa, mutta niitä ei ole vielä dokumentoitu CVE-tietokannoissa.

Hyökkääjät voivat hyödyntää niitä ennen kuin toimittaja julkaisee korjauksen. Tämä on virhe, joka on erittäin vaarallinen.

Esimerkki:

Selaimen haavoittuvuutta käytetään hyökkääjien toimesta ennen kuin Google tai Microsoft julkaisee korjauksen.

Liittyvät termit

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Nollapäivähaavoittuvuus
• Hyväksikäyttö
• Korjausten hallinta
• Haavoittuvuuksien hallinta
• Common Weakness Enumeration (CWE)

UKK: CVE