Co to jest CVE (Common Vulnerabilities and Exposures)?

CVE oznacza Common Vulnerabilities and Exposures. Jest to system, który śledzi znane publicznie podatności w zakresie cyberbezpieczeństwa.

Każdy rekord CVE ma swój własny identyfikator, taki jak CVE-2024-492881, i opisuje konkretną słabość w oprogramowaniu, sprzęcie lub oprogramowaniu układowym, którą atakujący mogą wykorzystać do przejęcia systemu.

Program CVE został uruchomiony przez MITRE Corporation, amerykańską organizację non-profit finansowaną przez rząd federalny, skupioną na cyberbezpieczeństwie i technologii. Obecnie MITRE nadal zarządza systemem CVE pod nadzorem Rady CVE — grupy, która obejmuje ekspertów ds. bezpieczeństwa, dostawców i globalnych interesariuszy. Organizacje, dostawcy, narzędzia bezpieczeństwa i badacze na całym świecie korzystają z CVE do śledzenia podatności i zarządzania poprawkami.

Dlaczego CVE jest ważne w cyberbezpieczeństwie

Przed CVE badacze i organizacje polegali na oddzielnych schematach nazewnictwa, co utrudniało śledzenie podatności w różnych narzędziach i raportach.

CVE pomaga rozwiązać ten problem, oferując:

• Spójne identyfikatory dla każdej podatności
• Scentralizowana widoczność w globalnej bazie danych bezpieczeństwa
• Łatwiejsza współpraca między dostawcami, badaczami i organizacjami zaangażowanymi w cyberbezpieczeństwo.

CVE stanowi podstawę dla narzędzi bezpieczeństwa, takich jak skanery podatności, SCA, ASPM i systemy zarządzania poprawkami, które polegają na identyfikatorach CVE do wykrywania i priorytetyzacji ryzyk.

Jak działa CVE?

Każdy rekord CVE w bazie danych podatności zawiera

• Identyfikator CVE - unikalny identyfikator dla podatności
• Opis - wyjaśnienie podatności
• Referencje - zaufane zewnętrzne źródła, które dostarczają szczegółowych informacji o podatności
• Ocena CVSS - ocena powagi, ocena, która informuje o tym, jak poważna lub wpływowa jest podatność, jeśli zostanie wykorzystana.

Wszystkie CVE są przechowywane publicznie na cve.org, a także są odzwierciedlone w National Vulnerability Database (NVD) utrzymywanej przez NIST (National Institute of Standards and Technology), która jest agencją nieregulacyjną Departamentu Handlu Stanów Zjednoczonych.

Znane vs. Nieznane Luki

Znane Luki

Luki, o których wiedzą organizacje zajmujące się bezpieczeństwem i badacze, i dla których mogą dostarczyć poprawki w celu ich usunięcia.

Znane luki są często już opublikowane w bazach danych takich jak CVE lub NVD.

Przykład:

CVE-2017-5638 — luka w Apache Struts wykorzystana w naruszeniu danych Equifax (2017).

Nieznane (Zero-Day) Luki

Są to nieodkryte lub nieujawnione wady; istnieją w oprogramowaniu, ale nie są jeszcze udokumentowane w bazach danych CVE.

Atakujący mogą je wykorzystać, zanim dostawca wyda poprawkę. Jest to wada, która jest bardzo niebezpieczna.

Przykład:

Luka w przeglądarce wykorzystywana przez atakujących, zanim Google lub Microsoft wydadzą poprawkę.

Powiązane Terminy

• NVD (National Vulnerability Database)
• CVSS (Common Vulnerability Scoring System)
• Zero-Day Vulnerability
• Exploit
• Zarządzanie Poprawkami
• Zarządzanie Lukami
• Common Weakness Enumeration (CWE)

FAQ: CVE