发布日期:2024 年 7 月 22 日
撰稿人:Tasmiha Khan、Michael Goodwin
公共漏洞和暴露 (CVE) 一般是指 CVE 列表,这是由 MITRE Corporation 确立和维护的公开披露的信息安全漏洞目录。
CVE 目录更像是一本字典,而不是 CVE 数据库。它为每个漏洞或风险提供一个名称和一个描述。这样,它就可以实现不同工具和数据库之间的通信,有助于提高互操作性和安全覆盖范围。可免费或公开下载和使用 CVE。CVE 列表为美国国家漏洞数据库 (NVD) 提供信息。
CVE 组织是“一个基于社区的国际性机构,致力于维护一个由社区驱动的公开已知网络安全漏洞的开放数据注册表,称为 CVE 列表”。1
网络安全的一个根本挑战是识别并减少黑客可能用来危害应用程序、系统和数据的漏洞。为了帮助应对此挑战,CVE 通过提供一个标准化框架来对网络安全漏洞进行分类和跟踪,各组织可以使用该框架来改进漏洞管理流程。
CVE 系统使用唯一标识符(称为 CVE ID)(有时称为 CVE 编号)来标记报告的每个漏洞。这有助于有效的沟通、协作和安全漏洞管理。
MITRE Corporation 于 1999 年创立了 CVE,作为对软件和固件中的安全漏洞进行分类的参考目录。CVE 系统可帮助各组织讨论和共享有关网络安全漏洞的信息,评估漏洞的严重程度并提高计算机系统的安全性。
CVE 编辑委员会负责监督 CVE 计划。委员会包括来自网络安全相关组织的成员,来自学术界、研究机构、政府机构的成员,以及其他著名的安全专家。除其他任务外,委员会还将批准数据源、产品覆盖范围、CVE 列表条目的覆盖目标,并管理新条目的持续分配。2
美国国土安全部 (DHS) 网络安全和通信办公室的 US-CERT 赞助了 CVE 计划。3
CVE 计划将漏洞定义为“软件和硬件组件中发现的计算逻辑中的弱点,一旦被利用,将会对机密性、完整性或可用性造成负面影响”。因此,漏洞是指攻击者可以利用的弱点(例如编码错误),旨在未经授权访问网络和系统、安装恶意软件、运行代码以及窃取或销毁敏感数据。风险是指这种访问得逞的可能性。
想象一栋房子:漏洞就是一扇窗户,窗户上的锁很容易被窃贼撬开。风险就是有人忘记锁上的那扇窗户。
安全缺陷必须符合特定标准,才有资格成为 CVE 并被分配 CVE 标识符 (CVE ID):
- 可独立于其他缺陷进行修复:该缺陷必须可独立于其他漏洞进行修复。
- 由供应商确认或记录在漏洞报告中:供应商必须确认该漏洞存在并对安全性产生负面影响。或者,必须有一个漏洞报告,说明该漏洞对安全性的负面影响及其违反相关系统安全策略的情况。
- 影响一个代码库:该漏洞必须仅影响一个代码库(一个产品)。对于影响多个产品的缺陷,将针对每个产品分配单独的 CVE。
CVE 编号机构 (CNA) 会在特定的覆盖范围内分配 CVE ID 并发布 CVE 记录。MITRE Corporation 担任编辑和主要 CNA。其他 CNA 包括主要操作系统 (OS) 和 IT 供应商(包括 IBM、Microsoft 和 Oracle)、安全研究人员及其他授权实体。CNA 以自愿为基础开展工作。目前有来自 40 个不同国家或地区的 389 个 CNA。4
根是被授权在指定范围内招募、培训和管理 CNA 或其他根的组织。
顶级根是最高级别的根,负责“指定层次结构的治理和管理,包括该层次结构内的根和 CNA”。5CVE 计划目前有两个顶级根:MITRE Corporation 以及美国网络安全与基础设施安全局 (CISA)。
有关 CVE 组织结构的更多信息,可以访问此处(ibm.com 外部链接)。
任何人都可以提交 CVE 报告。网络安全研究人员、安全专业人员、软件供应商、开源社区成员和产品用户通常通过各种方式发现漏洞,例如独立研究、安全评估、漏洞扫描、事件响应活动或直接使用产品。许多公司都提供漏洞赏金,用于奖励发现并负责任地报告在软件中发现漏洞的行为。
一旦发现并报告了新的漏洞,将会被提交给 CNA 进行评估。然后为该漏洞保留一个新的 CVE。这是 CVE 记录的初始状态。
在检查相关漏洞后,CNA 将提交详细信息,包括影响的产品、任何更新或修复的产品版本、漏洞类型、根本原因和影响以及至少一个公开参考资料。将这些数据元素添加到 CVE 记录后,CNA 会将记录发布到 CVE 列表,使其公开可用。
然后,该 CVE 条目将成为官方 CVE 列表的一部分,全球网络安全专业人员、研究人员、供应商和用户都可以访问该列表。各组织可以使用 CVE ID 来跟踪自己的环境中的漏洞并确定其优先级、评估自己面临的特定威胁暴露程度并实施适当的风险缓解措施。
CVE 条目包括 CVE ID、安全漏洞的简要描述和参考资料(包括漏洞报告和建议)。CVE ID 由三部分组成:
- 以前缀 “CVE” 开头的 CVE ID
- 第二部分是任务年份
- CVE ID 的最后一部分是顺序标识符
完整 ID 如下所示:CVE-2024-12345。这种标准化 ID 有助于确保不同平台和存储库之间的一致性和互操作性,使利益相关者能够使用一种“通用语言”引用和共享有关特定漏洞的信息。
CVE 记录与以下三个状态之一相关联:
- 保留:这是在公开披露之前分配给 CVE 的初始状态(当 CNA 检查漏洞时)。
- 已发布:这是指 CNA 已收集并输入与 CVE ID 相关的数据并发布了记录。
- 已拒绝:在此阶段,不应使用 CVE ID 和记录。但是,被拒绝的记录仍在 CVE 列表中,以通知用户该 ID 和记录无效。
各组织评估漏洞严重性的方法之一是使用通用漏洞评分系统 (CVSS)。CVSS 由事件响应与安全团队论坛 (FIRST) 运营,是美国国家漏洞数据库 (NVD)、网络安全应急响应小组 (CERT) 等组织评估已报告漏洞的严重性和影响时使用的标准化方法。它独立于 CVE 系统,但与 CVE 同时使用:CVE 记录格式使 CNA 能够在向 CVE 列表发布记录时为 CVE 记录添加 CVSS 分数。6
CVSS 根据可利用性、影响范围和其他指标为漏洞指定一个数字分数,范围为 0.0 到 10。分数越高,问题就越严重。此分数有助于组织评估解决特定漏洞的紧迫性并相应地分配资源。各组织同时使用自己的漏洞评分系统的情况并不少见。
CVSS 分数是根据包含漏洞不同特征的三个指标组(基础、时间和环境)的分数计算得出的。
企业最依赖基础指标分数,而美国国家标准与技术研究院 (NIST) 的国家漏洞数据库中提供的公共严重性排名仅使用基础指标分数。此基础指标分数不考虑随时间变化的漏洞特征(时间指标)、实际因素(如用户环境)或企业为防止漏洞被利用而采取的措施。
基础指标进一步细分为可利用性指标和影响指标:
- 可利用性指标包括攻击向量、攻击复杂性和所需权限等因素。
- 影响指标包括机密性影响、完整性影响和可用性影响。7
时间指标衡量的是漏洞的当前状态,用于反映随时间变化的影响的严重程度。它们还包含任何补救措施,例如可用补丁。漏洞利用代码成熟度、修复级别和报告可信度都是时间指标分数的组成部分。
环境指标让组织能够根据自身的环境和安全要求来调整基础评分。该分数有助于将漏洞置于更清晰的上下文中,因为它与组织相关,并且包含了机密性要求分数、完整性要求分数和可用性要求分数。这些指标与修改后用于衡量特定环境的基础指标(例如修改后的攻击媒介和修改后的攻击复杂性)一起计算,得出环境指标评分。
CVE 计划代表了一种标识、编目和解决网络安全漏洞和风险问题的协作式成体系的方法。通过提供用于标识和引用漏洞的标准化系统,CVE 可帮助各组织以多种方式改进漏洞管理:
CVE 可帮助各组织使用通用标识符讨论和共享有关漏洞的信息。例如,安全公告通常会发布 CVE 列表以及 CVSS 分数,各公司可使用这些列表为其风险管理策略和补丁规划周期提供信息。
CVE 可帮助各组织有效管理安全风险,增强威胁可见性和威胁情报,并在日益复杂且动态的威胁环境中增强整体网络安全态势。
CVE ID 有助于数据关联,使 IT 团队能够查看多个来源,获取有关特定漏洞的信息。
CVE 列表可用于帮助确定哪些安全工具最适合组织的需求,并在考虑已知漏洞以及这些安全问题可能对企业系统和数据造成的潜在影响的情况下制定风险管理策略。利用这些信息,各组织可以更好地确定某些产品如何适配自己的安全态势,并采取措施最大限度地减少遭受网络攻击和数据泄露的风险。
CVE 是已知网络安全漏洞的目录,其中,一个 CVE ID 特定于一个软件缺陷。通用弱点枚举 (CWE) 是一个 IT 社区项目,列出了不同类型或类别的硬件和软件的弱点,例如缓冲区错误、身份验证错误或 CPU 问题。这些弱点可能会导致漏洞。
利用 IBM Concert,应用程序拥有者和 SRE 将能够主动确定应用程序漏洞的优先级,进行缓解和跟踪,确保运营弹性。
将 DevOps 开发运维转变为包含人员、流程和工具的 DevSecOps,随时随地安全地构建、部署和迭代应用程序。
2024 年 IBM® X-Force Threat Intelligence Index 提供了重要的研究洞察和建议,可帮助企业做好准备,更快、更有效地应对攻击。
API(应用程序编程接口)是一组规则或协议,可支持软件应用程序相互通信,以交换数据、特性和功能。
自动化是应用技术、程序、机器人或流程,以最少的人工投入实现结果。
软件开发是指一系列计算机科学活动,专用于完成创建、设计、部署和支持软件的过程。
动态应用程序安全测试 (DAST) 是一种网络安全测试方法,可用于识别 Web 应用程序、API 和移动应用程序(最近才实现)中的漏洞和错误配置。
漏洞管理生命周期是一个发现、确定优先级并解决公司 IT 资产中的漏洞的持续过程。
脚注
1,2,3“公共漏洞和暴露 CVE – 信息安全漏洞名称标准”,cve.mitre.org。2016 年 2 月
4,6 cve.mitre.org,2024
5 CVE 词汇表,cve.org,2024
7 通用漏洞评分系统 3.1 版计算器,FIRST.org,2024