CVE是Common Vulnerabilities and Exposures的缩写。它是由MITRE于1999年发起的一个项目,MITRE是一个由美国联邦政府资助的非营利性研究和开发中心,旨在识别软件或固件中的漏洞并将其分类到一个免费的“字典”中,以供组织提高其安全性。
这个CVE字典的主要目的是标准化每个已知漏洞或暴露的识别方式。标准ID允许安全管理员跨多个CVE兼容信息源访问有关特定威胁的技术信息。
CVE由US-CERT赞助,隶属于美国国土安全部(DHS)网络安全和美国信息保障办公室(OCSIA)。MITRE负责维护CVE词典和公共网站。CVE兼容性计划(CVE Compatibility Program)旨在促进CVE编号机构(CNA)使用标准的CVE标识。
每条CVE Record记录由CVE编号机构(CNA)分配一个唯一标识符(CVE-ID)。
什么是安全漏洞?
什么是计算机安全暴露?
暴露是使攻击者间接访问系统或网络的错误。它可能允许攻击者收集可能被出售的客户信息。
CVE List
CVE不仅仅是另一个漏洞数据库。它的目的是允许漏洞数据库和其他功能链接在一起,并促进安全工具和服务的比较。CVE List列表仅包含带状态指示器的标准标识号、简要描述以及相关漏洞报告和建议的参考。它不包括风险、影响、修复或详细的技术信息。美国国家漏洞数据库(NVD)确实包含CVE List列表上标识符的修复、评分和其他信息。
黑客可以利用CVE入侵网络吗?
简短的回答是肯定的,但MITRE和CVE董事会认为CVE的好处大于风险:
- CVE只列出公开已知的漏洞和暴露,这意味着熟练的黑客无论如何都可能知道它们。
- 组织保护其网络并修复所有可能的漏洞比黑客发现单个漏洞、利用它并破坏网络所需的工作量要多得多。
- 信息安全社区中越来越多的人认为共享信息是有益的。这反映在CVE董事会和CNA包括关键信息安全组织的事实中。
什么是CNAs以及它们的目的是什么?
CNAs是识别CVE IDs并将其分发给研究人员和信息技术供应商的组织,以便将其包含在新漏洞的首次公开公告中。它们是MITRE和CVE董事会所称的“federated system联合系统”的一部分,在这个系统中,数十个其他组织(目前有62个)帮助识别漏洞,并为它们分配一个ID号,而不直接包含MITRE,因为MITRE是主要的CNA,负责具体漏洞的细节。
作为CNAs的组织包括Adobe, Apple, Cisco, Google, Hewlett Packard Enterprise, Huawei, IBM, Intel, Microsoft, Mozilla, Oracle, Rapid 7, Red Hat, Siemens, Symantec and VMWare,以及CERT/CC(计算机应急响应小组Computer Emergency Response Team/协调中心Coordination Center)和DWF9(Distributed Weakness Filing)项目等组织。
一个组织怎样才有资格成为CNA?
它可以是一个拥有大量用户基础和已建立的安全咨询能力的供应商,一个区域协调者(如CERT),一个域发布者(如代表特定部门的信息共享和分析中心(ISAC=Information Sharing and Analysis Center)),或者一个成熟的研究组织。该组织必须是首次发布产品漏洞公告的既定分发点或来源,这可能涉及到他们自己的产品。
什么是“根root” CNA?
MITRE是“主要primary”CNA,而root CNA覆盖一定的区域或细分区域niche。在许多情况下,root CNA是像微软这样的大公司,只在自己的产品中发布漏洞。在其他情况下,像红帽这样的公司专注于开源漏洞。
如果您想成为root CNA(如DWF/JP-CERT/CC或现有的商业公司组,如Red Hat或Microsoft),您可以询问MITRE。如果您是一个开源项目,如果您的项目足够大,您可以直接找到MITRE(就像Apache Foundation基金会过去所做的那样,也是在DWF启动并运行之前),或者您可以直接找到DWF,成为DWF的sub-CNA。
最新版本的CVE List在哪里?
新的CVE标识符每天都会被添加到CVE网站中,并且可以立即使用。最新的CVE可以在CVE网站(cve.org)上直接下载。来自CERIAS/普渡大学的一个免费工具(cerias.purdue.edu)监控CVE列表的变化。此外,CVE变更日志提供每日或每月的变更列表。该工具是CERIAS Cassandra事件响应数据库服务的一个功能,在CVE兼容产品和服务页面中列出。最近分配的CVE标识符也出现在美国国家漏洞数据库U.S NVD中。
对每个新的漏洞或暴露的“审查”过程是什么?
现在,如果研究人员发现软件中的缺陷或设计疏忽,即使它可能不被供应商视为漏洞,也会给出CVE IDs。研究人员可能会被要求提供证明负面影响的证据,例如漏洞可被利用的示例/场景。
这种说法越有力,获得CVE的可能性就越大。如果它来自像Red Hat红帽这样的老牌供应商,“那么我们通常会相信他们。这同样适用于像Qualys这样的知名安全研究公司,以及像(白帽黑客)Tavis Ormandy等人。如果对CVE的真实性有疑问,还有一个dispute process争议流程和一个reject process拒绝程序。
CVE List列表是否包含所有已知的漏洞和安全暴露?
没有,关于它包含的百分比有一些争论。根据CVE的说法,该计划的目标是“全面”。据估计,从名单上消失的比例从三分之一到近一半不等。MITRE拒绝透露它认为的差距是多少,因为没有普遍接受的计算方法。
CVE如何帮助保护网络?
通过使用特定漏洞或暴露的CVE ID,组织可以快速准确地从各种CVE兼容信息源获取信息。通过更好地比较不同的安全工具和服务,CVE可以帮助组织选择最适合其需求的工具和服务。
使用兼容CVE的产品和服务还有助于改进对安全通知的响应。如果建议是CVE兼容的,组织可以查看他们的安全扫描或安全服务是否检查此威胁,然后确定他们的入侵检测系统是否具有适当的攻击签名。对于那些为客户构建或维护系统的人来说,CVE的兼容性将有助于直接识别来自这些系统中商业软件产品供应商的任何修复程序。这也要求供应商修复站点site是CVE兼容的。
参考
- csoonline.com
- cve.org
