Что такое CVE?

Что такое CVE?

Аббревиатура CVE расшифровывается как Common Vulnerabilities and Exposures и является базой данных общеизвестных уязвимостей информационной безопасности. Система активно поддерживается центром исследований и разработок США (Federally Funded Research and Development Centers, FFRDC), которым управляет корпорация MITRE. Поскольку MITRE является некоммерческой организацией, CVE финансируется отделом национальной кибербезопасности США (National Cyber Security Division, NCSD).

Разница между уязвимостями и воздействиями

Vulnerabilities – это недостатки системы, создающие слабые места в инфраструктуре, которые могут быть использованы киберпреступником. Уязвимости могут возникать из чего угодно: от неисправленного ПО до незащищенного USB-порта. Уязвимости системы могут позволить злоумышленнику:

• получить доступ к системной памяти;
• установить вредоносное ПО;
• запустить вредоносный код;
• украсть, уничтожить или изменить конфиденциальные данные.

Exposures – это единичные случаи, когда система организации находится под угрозой. Простая ошибка позволяет провести кибератаку на организацию. Сюда можно отнести кражу конфиденциальных данных, которые затем продаются в даркнете. Большинство киберинцидентов вызвано раскрытием информации, а не хорошо продуманными эксплойтами.

История системы CVE

Первоначальная концепция базы данных CVE возникла в техническом документе 1999 года под названием «На пути к общему перечню уязвимостей» (Towards a Common Enumeration of Vulnerabilities), написанном Стивеном М. Кристи и Дэвидом Э. Манном из корпорации MITRE.

Кристи и Манн собрали рабочую группу из 19 специалистов и составили первоначальный список CVE из 321 записи. В сентябре 1999 года реестр стал общедоступным. С момента запуска CVE в 1999 году различные ИБ-компании дополняли список уязвимостей. К декабрю 2000 года в инициативе участвовало 29 организаций со своими 43 ошибками.

CVE использовалась в качестве отправной точки для Национальная базы данных уязвимостей США (National Vulnerability Database, NVD) института NIST. CVE расширяется с каждой организацией, которая присоединяется к MITRE в качестве соавтора. Полный список партнеров можно найти на CVE.org.

Как определяются CVE?

Все CVE — это недостатки, но не все недостатки — CVE. Недостаток объявляется CVE, когда он соответствует трем конкретным критериям:

• Недостаток может быть исправлен отдельно от любых других ошибок;
• Поставщик ПО признал и задокументировал уязвимость как наносящую ущерб безопасности пользователей;
• Ошибка затрагивает единственную кодовую базу. Недостаткам, затрагивающим несколько продуктов, присваивается несколько CVE.

Каждой уязвимости CVE присваивается номер (CVE Identifier или CVE ID) одним из 222 центров нумерации CVE (CVE Numbering Authorities, CNA) из 34 стран.

Согласно MITRE, CNA представляют различные организации: от поставщиков ПО и open-source-проектов до поставщиков услуг по поиску ошибок и исследовательских групп. Все эти организации имеют право назначать идентификаторы CVE и публиковать записи о них в рамках программы CVE. На протяжении многих лет к программе CNA присоединялись предприятия из разных отраслей. Требования для вступления минимальны и не требуют контракта или денежного взноса.

Международный стандарт для идентификаторов CVE — это CVE-хххх-ууууу. [xxxx] — год, когда уязвимость была обнаружена. [ууууу] — это серийный номер, присвоенный соответствующим CNA.

Сколько существует CVE?

Тысячи новых уязвимостей публикуются каждый год с момента основания программы в 1999 году. На момент написания статьи в списке CVE уже 178 569 записей. В среднем это составляет 7 763 уязвимостей и воздействий в год.

Из более чем 178 000 CVE более половины принадлежат 50 ведущим мировым поставщикам ПО. Например, Microsoft и Oracle сообщили о более чем 6000 недостатков в своих продуктах.

Почему важна программа CVE?

База CVE была создана для упрощения обмена информацией об известных уязвимостях между организациями. Идентификаторы CVE дают специалисту по кибербезопасности возможность легко находить информацию о недостатках в различных авторитетных источниках, используя один и тот же идентификатор уязвимости.

Более того, CVE является надежной базой для компании, чтобы понять необходимость инвестиций в улучшение защиты. Организация может быстро получить точную информацию о конкретном эксплойте из нескольких сертифицированных источников, что позволяет правильно расставить приоритеты для устранения проблемы.

Могут ли киберпреступники использовать CVE?

Когда уязвимость становится общеизвестной, у хакера есть время для её использования в злонамеренных целях. Злоумышленник может эксплуатировать ошибку до её исправления поставщиком ПО.

Обмен информацией в ИБ-сообществе является надежным способом уменьшить количество кибератак и внедрить новые решения для обеспечения кибербезопасности. CVE является необходимым элементом на пути к совершенствованию продуктов и поддержанию защиты пользователей и мировых корпораций.