CVE چیست ؟ بررسی جامع و کامل از CVE

CVE چیست ؟ بررسی جامع و کامل از CVE
شاید شما از اون دسته از افرادی باشید که به تازگی وارد حوزه تست و نفوذ شده اید و طبیعتا به کلماتی برمیخورد
که معنی ها رو نمی دانید یعنی از معروف کلماتی که شما بهش برخورد کردید کلمه CVE یا بهتر بگویم Common Vulnerabilities and Exposures است. در این مقاله قصد داریم نگاهی کامل به مبحث CVE چیست ؟ داشته باشیم.
CVE چیست ؟
همان طور که در بالا گفتیم CVE مختصر واژه Common Vulnerabilities and Exposures است
که اگر بخواهیم تعریف ساده آن را برای شما بازگو کنیم باید بگویم : فهرستی از نقص های امنیتی کامپیوتری است که به صورت عمومی افشا شده اند.
نکته : CVE در سال 1999 توسط شرکت MITER برای شناسایی و طبقه بندی آسیب پذیری ها در نرم افزار و سیستم عامل راه اندازی شد.
CVE یک فرهنگ لغت (dictionary) رایگان برای سازمان ها برای بهبود امنیت سایبری خود ارائه می دهد. MITER یک سازمان غیرانتفاعی است که مراکز تحقیق و توسعه با بودجه فدرال را در ایالات متحده اداره می کند.
نکته : CVE به متخصصان فناوری اطلاعات کمک میکند تا تلاشهای خود را برای اولویتبندی و رفع این آسیبپذیریها برای ایمنتر کردن سیستمهای کامپیوتری هماهنگ کنند.
سیستم CVE چگونه کار می کند ؟
در ادامه صحبت های که در بالا انجان دادیم متوجه شدیم برنامه CVE توسط شرکت MITER با بودجه (CISA) و بخشی از وزارت امنیت داخلی ایالات متحده، نظارت می شود.
- ورودی های CVE مختصر هستند. آنها شامل داده های فنی، یا اطلاعاتی در مورد خطرات، اثرات، و اصلاحات نیستند. این جزئیات در سایر پایگاههای داده، از جمله National Vulnerability Database (NVD) یا CERT/CC Vulnerability Notes Database و فهرستهای مختلفی که توسط فروشندگان و سایر سازمانها نگهداری میشوند، نمایش داده میشوند.
در این سیستمهای مختلف، شناسههای CVE راهی قابل اعتماد برای شناسایی آسیب پذیری های منحصر به فرد و هماهنگ کردن توسعه ابزار ها و راهحل های امنیتی به کاربران میدهند. شرکت MITER لیست CVE را حفظ می کند، اما یک نقص امنیتی که به یک ورودی CVE تبدیل می شود اغلب توسط سازمان ها و اعضای جامعه open source ارائه می شود.
هدف CVE چیست ؟
هدف CVE این است که به اشتراک گذاری اطلاعات در مورد آسیب پذیری های شناخته شده را آسان تر کند تا بتوان استراتژی های امنیت سایبری را با جدیدترین نقص های امنیتی و مسائل امنیتی به روز کرد.
- CVE این کار را با ایجاد یک شناسه استاندارد برای یک آسیب پذیری یا قرار گرفتن در معرض مشخص انجام می دهد.
شناسههای CVE (که CVE names یا CVE numbers CVE نیز نامیده میشود) به متخصصان امنیتی اجازه میدهند تا با استفاده از یک نام مشترک، به اطلاعات مربوط به تهدیدات سایبری خاص در چندین منبع اطلاعاتی دسترسی داشته باشند.
به عنوان مثال، UpGuard یک محصول سازگار با CVE است و گزارش های آن به شناسه های CVE اشاره می کنند. این به شما امکان می دهد تا اطلاعات مربوط به هر پایگاه داده آسیب پذیری سازگار با CVE را پیدا کنید.
مزایای مراجعه به CVE چیست ؟
پایگاه داده CVE به سازمان ها اجازه می دهد تا یک خط پایه برای ارزیابی پوشش ابزارهای امنیتی خود تعیین کنند. شناسههای مشترک CVE به سازمانها اجازه میدهد تا ببینند هر ابزار چه چیزی را پوشش میدهد و چقدر برای سازمان شما مناسب است.
- توصیه های امنیتی میتوانند به اطلاعات آسیبپذیری CVE برای جستجوی حمله های شناخته شده
و اصلاح critical exploits به عنوان بخشی از هر فرآیند digital forensics ارجاع دهند. به جای ارزیابی آسیب پذیری اختصاصی، به دنبال ابزارهای امنیتی با سازگاری CVE باشید، این یک راه عالی برای کاهش خطر امنیت سایبری سازمان شما است.
آیا CVE یک پایگاه داده آسیب پذیری است ؟
CVE یک پایگاه داده آسیب پذیری نیست. CVE به گونه ای طراحی شده است که به پایگاه داده های آسیب پذیری
و سایر ابزارها اجازه می دهد تا به یکدیگر مرتبط شوند. همچنین مقایسه بین ابزارها و خدمات امنیتی را اسان می کند. در حقیقیت همانطور که در بالا گفتیم میاد US National Vulnerability Database (NVD) را بررسی کنید که از شناسههای CVE استفاده میکند و شامل fix information، امتیازدهی و سایر اطلاعات است.
ورودی CVE یا CVE Entry چیست ؟
یک CVE entry یک آسیب پذیری یا exposure را توصیف می کند. هر ورودی CVE حاوی یک شماره شناسه استاندارد با status indicator (به عنوان مثال “CVE-1999-0067” “CVE-2014-12345” “CVE-2016-7654321”)، یک شرح مختصر و ارجاع به گزارش ها و توصیه های آسیب پذیری مرتبط است.
- هر شناسه CVE به صورت CVE-YYYY-NNNN فرمت شده است.
بخش YYYY سالی است که شناسه CVE اختصاص داده شده است یا سالی که آسیب پذیری عمومی (public) شده است. برخلاف vulnerability databases، ورودیهای CVE شامل risk ،impact fix یا سایر اطلاعات فنی نمی شوند.
CVE Board چیست ؟
CVE Board متشکل از سازمانهای امنیت سایبری از جمله فروشندگان ابزار امنیتی
دانشگاهها، مؤسسات تحقیقاتی، ادارات و سازمانهای دولتی، کارشناسان امنیتی و کاربران نهایی اطلاعات آسیب پذیری است. CVE Board ورودی مهمی را در مورد data sources ،product coverage ،coverage goals ،operating structure و strategic direction برنامه CVE ارائه می دهد.
چگونه یک Vulnerability یا Exposure به CVE اضافه می شود ؟
CVE ها زمانی اضافه می شوند که یک محقق یا ناظر مشکلی را در نرم افزار یا سیستم عامل پیدا کند.
فروشنده مجبور نیست آن را به عنوان یک آسیب پذیری ببیند تا به عنوان CVE درج شود. با این حال، ممکن است از محقق خواسته شود که شواهدی در مورد نحوه استفاده از آن به عنوان بخشی از یک exploit ارائه دهد.