A CVE-adatbázis magyarázata

A kiberbiztonsági védelmi szakembereknek meg kell egyezniük terminológiájukban, hogy együttműködhessenek a fenyegetések leküzdésében. Ugyanazt a nyelvet kell beszélnünk. Ezért van szükségünk a CVE adatbázisra. A CVE a közös sebezhetőségeket és expozíciókat jelenti.

[wp_ad_camp_1]

Ez az ismert számítógépes biztonsági rések és rendszerhibák nyilvánosan elérhető szótára, amely eszközök, rendszerek vagy programok feltörésére használható. Minden bejegyzés CVE részleteket tartalmaz – egyedi sorozatszámot, rövid leírást és legalább egy nyilvános referenciát. Ezek elérhetők a CVE webhelyen. A CVE számozási hatóságok (CNA) olyan szervezetek, amelyek CVE azonosítókat rendelnek a biztonsági résekhez. Körülbelül 100 CNA működik, amelyek IT vállalatokat, kutatóintézeteket, biztonsági szervezeteket stb. tartalmaznak. Az egész folyamatot a Mitre Corporation nevű nonprofit CNA felügyeli, amely kormányok által finanszírozott kutatási és fejlesztési központokat működtet.

A Mitre-t az Egyesült Államok Belbiztonsági Minisztériumának (DHS) Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA) szponzorálja. Bármely entitás azonosíthatja a CVE sebezhetőséget, de be kell jelentenie azt a CNA-nak, mivel csak ez utóbbi rendelhet hozzá CVE-azonosítót. A sebezhetőségi jelentés kézhezvétele után a CNA kiértékeli azt, hozzárendel egy azonosító számot és felsorolja CVE-ként. A lista csak a megoldandó biztonsági kérdéseket tartalmazza annak megakadályozása érdekében, hogy a hackerek felhasználják az új kiaknázható hiányosságok felkutatására. A listára való felvétel után a Nemzeti Sebezhetőségi Adatbázis kiértékeli az egyes CVE súlyosságát, és súlyossági mutatót rendel hozzá – egy CVE súlyossági elemzést vagy CVSS pontszámot. Ez jelzi, hogy a CVE milyen súlyos 0-tól 10-ig terjedő skálán. Az értékelés figyelembe veszi a támadás összetettségét, a megoldás nehézségeit, az érintett rendszereket stb.