CVE چیست ؟ بررسی جامع و کامل از CVE

1351 بازدید

دسته بندی: امنیت - وبلاگ منتشر شده در 1401-12-03 نویسنده: مهرشاد محمدی زمان مطالعه: 5 دقیقه 0 نظر به روز شده در 1401-12-12

CVE چیست ؟ بررسی جامع و کامل از CVE

شاید شما از اون دسته از افرادی باشید که به تازگی وارد حوزه تست و نفوذ شده اید و طبیعتا به کلماتی برمیخورد
که معنی ها رو نمی دانید یعنی از معروف کلماتی که شما بهش برخورد کردید کلمه CVE یا بهتر بگویم Common Vulnerabilities and Exposures است. در این مقاله قصد داریم نگاهی کامل به مبحث CVE چیست ؟ داشته باشیم.

CVE چیست ؟

همان طور که در بالا گفتیم CVE مختصر واژه Common Vulnerabilities and Exposures است
که اگر بخواهیم تعریف ساده آن را برای شما بازگو کنیم باید بگویم : فهرستی از نقص های امنیتی کامپیوتری است که به صورت عمومی افشا شده اند.

نکته : CVE در سال 1999 توسط شرکت MITER برای شناسایی و طبقه بندی آسیب پذیری ها در نرم افزار و سیستم عامل راه اندازی شد.
CVE یک فرهنگ لغت (dictionary) رایگان برای سازمان ها برای بهبود امنیت سایبری خود ارائه می دهد. MITER یک سازمان غیرانتفاعی است که مراکز تحقیق و توسعه با بودجه فدرال را در ایالات متحده اداره می کند.

نکته : CVE به متخصصان فناوری اطلاعات کمک می‌کند تا تلاش‌های خود را برای اولویت‌بندی و رفع این آسیب‌پذیری‌ها برای ایمن‌تر کردن سیستم‌های کامپیوتری هماهنگ کنند.

سیستم CVE چگونه کار می کند ؟

در ادامه صحبت های که در بالا انجان دادیم متوجه شدیم برنامه CVE توسط شرکت MITER با بودجه (CISA) و بخشی از وزارت امنیت داخلی ایالات متحده، نظارت می شود.

ورودی های CVE مختصر هستند. آنها شامل داده های فنی، یا اطلاعاتی در مورد خطرات، اثرات، و اصلاحات نیستند. این جزئیات در سایر پایگاه‌های داده، از جمله National Vulnerability Database (NVD) یا CERT/CC Vulnerability Notes Database و فهرست‌های مختلفی که توسط فروشندگان و سایر سازمان‌ها نگهداری می‌شوند، نمایش داده می‌شوند.

در این سیستم‌های مختلف، شناسه‌های CVE راهی قابل اعتماد برای شناسایی آسیب‌ پذیری‌ های منحصر به‌ فرد و هماهنگ کردن توسعه ابزار ها و راه‌حل‌ های امنیتی به کاربران می‌دهند. شرکت MITER لیست CVE را حفظ می کند، اما یک نقص امنیتی که به یک ورودی CVE تبدیل می شود اغلب توسط سازمان ها و اعضای جامعه open source ارائه می شود.

هدف CVE چیست ؟

هدف CVE این است که به اشتراک گذاری اطلاعات در مورد آسیب پذیری های شناخته شده را آسان تر کند تا بتوان استراتژی های امنیت سایبری را با جدیدترین نقص های امنیتی و مسائل امنیتی به روز کرد.

CVE این کار را با ایجاد یک شناسه استاندارد برای یک آسیب پذیری یا قرار گرفتن در معرض مشخص انجام می دهد.
شناسه‌های CVE (که CVE names یا CVE numbers CVE نیز نامیده می‌شود) به متخصصان امنیتی اجازه می‌دهند تا با استفاده از یک نام مشترک، به اطلاعات مربوط به تهدیدات سایبری خاص در چندین منبع اطلاعاتی دسترسی داشته باشند.

به عنوان مثال، UpGuard یک محصول سازگار با CVE است و گزارش های آن به شناسه های CVE اشاره می کنند. این به شما امکان می دهد تا اطلاعات مربوط به هر پایگاه داده آسیب پذیری سازگار با CVE را پیدا کنید.

مزایای مراجعه به CVE چیست ؟

پایگاه داده CVE به سازمان ها اجازه می دهد تا یک خط پایه برای ارزیابی پوشش ابزارهای امنیتی خود تعیین کنند. شناسه‌های مشترک CVE به سازمان‌ها اجازه می‌دهد تا ببینند هر ابزار چه چیزی را پوشش می‌دهد و چقدر برای سازمان شما مناسب است.

توصیه‌ های امنیتی می‌توانند به اطلاعات آسیب‌پذیری CVE برای جستجوی حمله های شناخته‌ شده
و اصلاح critical exploits به عنوان بخشی از هر فرآیند digital forensics ارجاع دهند. به جای ارزیابی آسیب‌ پذیری اختصاصی، به دنبال ابزارهای امنیتی با سازگاری CVE باشید، این یک راه عالی برای کاهش خطر امنیت سایبری سازمان شما است.

آیا CVE یک پایگاه داده آسیب پذیری است ؟

CVE یک پایگاه داده آسیب پذیری نیست. CVE به گونه ای طراحی شده است که به پایگاه داده های آسیب پذیری
و سایر ابزارها اجازه می دهد تا به یکدیگر مرتبط شوند. همچنین مقایسه بین ابزارها و خدمات امنیتی را اسان می کند. در حقیقیت همانطور که در بالا گفتیم میاد US National Vulnerability Database (NVD) را بررسی کنید که از شناسه‌های CVE استفاده می‌کند و شامل fix information، امتیازدهی و سایر اطلاعات است.

ورودی CVE یا CVE Entry چیست ؟

یک CVE entry یک آسیب پذیری یا exposure را توصیف می کند. هر ورودی CVE حاوی یک شماره شناسه استاندارد با status indicator (به عنوان مثال “CVE-1999-0067” “CVE-2014-12345” “CVE-2016-7654321”)، یک شرح مختصر و ارجاع به گزارش ها و توصیه های آسیب پذیری مرتبط است.

هر شناسه CVE به صورت CVE-YYYY-NNNN فرمت شده است.
بخش YYYY سالی است که شناسه CVE اختصاص داده شده است یا سالی که آسیب پذیری عمومی (public) شده است. برخلاف vulnerability databases، ورودی‌های CVE شامل risk ،impact fix یا سایر اطلاعات فنی نمی‌ شوند.

CVE Board چیست ؟

CVE Board متشکل از سازمان‌های امنیت سایبری از جمله فروشندگان ابزار امنیتی
دانشگاه‌ها، مؤسسات تحقیقاتی، ادارات و سازمان‌های دولتی، کارشناسان امنیتی و کاربران نهایی اطلاعات آسیب‌ پذیری است. CVE Board ورودی مهمی را در مورد data sources ،product coverage ،coverage goals ،operating structure و strategic direction برنامه CVE ارائه می دهد.

چگونه یک Vulnerability یا Exposure به CVE اضافه می شود ؟

CVE ها زمانی اضافه می شوند که یک محقق یا ناظر مشکلی را در نرم افزار یا سیستم عامل پیدا کند.
فروشنده مجبور نیست آن را به عنوان یک آسیب پذیری ببیند تا به عنوان CVE درج شود. با این حال، ممکن است از محقق خواسته شود که شواهدی در مورد نحوه استفاده از آن به عنوان بخشی از یک exploit ارائه دهد.