資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究網路安全中的常見漏洞和披露 (CVE) 是什麼?
什麼是 CVE?
常見漏洞和披露 (CVE) 是一種參考系統或列表,其功能類似於資訊安全風險的字典,這些風險是眾所周知的。CVE 列表上列出的每個漏洞或弱點都有一個唯一且標準化的 CVE 名稱。
美國國土安全部網路安全部門 (NCSD) 贊助了 CVE,MITRE 公司維護了 CVE。公眾可以訪問 CVE 字典,這是一個共享的資訊安全漏洞資訊集合。資訊安全漏洞是指軟體編碼錯誤,它允許駭客訪問資訊系統並執行非法操作,同時假冒合法使用者。被稱為“暴露”的軟體缺陷使駭客能夠訪問系統。攻擊者可以在暴露期間獲取資訊或掩蓋非法行為。
CVE 列表上的專案根據其正式新增到列表的年份以及當年新增的順序命名。CVE 幫助計算機安全工具製造商查詢缺陷和漏洞。在 CVE 之前,工具有自己的專有漏洞資料庫,並且沒有通用的詞彙表。CVE 的主要目標是促進跨各種漏洞資料庫和安全解決方案的資料共享。
CVE 的基礎
CVE 資料庫包含一個條目列表,每個條目都包含一個公共參考、一個識別號和一個描述。每個 CVE 中都列出了一個唯一的漏洞或暴露。根據 CVE 網站的說法,漏洞被描述為軟體程式碼中的錯誤,使攻擊者能夠直接訪問系統或網路。具有這種訪問許可權的攻擊者可能會以超級使用者或系統管理員的身份完全控制系統。另一方面,暴露是疏忽,它允許攻擊者未經授權訪問系統或網路。攻擊者可以使用這種訪問許可權收集客戶端資訊以出售。
總的來說,CVE 專案開發了一個用於查詢和分類漏洞和暴露的框架。
識別漏洞或暴露是 CVE 列表建立過程的第一步。然後,CNA 將為漏洞分配一個 CVE 識別號。然後,CNA 以書面形式記錄問題幷包含來源。然後,完整的 CVE 條目釋出在 CVE 網站上並新增到 CVE 列表中。
對於每個不同的暴露或漏洞,CVE 提供一個唯一的、獨特的標識。需要注意的是,它更像一個字典而不是一個數據庫。每個條目簡短的描述中沒有太多技術資訊、特定影響的資訊或修復資訊。相反,這些資訊可以在其他資料庫中找到,例如 CERT/CC 漏洞說明資料庫或美國國家漏洞資料庫 (NVD)。
漏洞與暴露有何不同?
漏洞是指可以被利用以進入計算機系統或在其上執行未經授權的操作的弱點。為了竊取、刪除或操縱敏感資料,攻擊者可以利用漏洞直接訪問系統或網路、執行程式、安裝惡意軟體並訪問內部系統。如果未被發現,它可能會使攻擊者能夠假裝自己是具有完全訪問許可權的超級使用者或系統管理員。
暴露是指允許攻擊者訪問系統或網路的錯誤。由於暴露,攻擊者可能能夠訪問和竊取個人身份資訊 (PII)。一些最大的資料洩露並非由於複雜的網路攻擊導致,而是由於無意的暴露導致的。
CVE 的侷限性是什麼?
由於 CVE 不旨在成為漏洞資料庫,因此它有意缺少有效管理漏洞所需的一些資料。CVE 記錄僅包含安全漏洞的簡要摘要以及指向 CVE 其他資訊來源的連結,例如供應商公告。
直接供應商網站和 NIST 國家漏洞資料庫都包含有關每個 CVE 的更多詳細資訊 (NVD)。資訊安全團隊通常需要 NVD 提供的基於 CVSS 的分數、修復資訊和其他關鍵事實,以便減輕漏洞或確定其總體優先順序。
此外,CVE 僅指示尚未修補的軟體中的缺陷。現代基於風險的漏洞管理方法認識到可以對組織構成風險的眾多不同的“漏洞”。必須識別和解決這些“漏洞”。傳統的漏洞管理程式將未修補的軟體視為需要解決的主要問題。其中許多不是 CVE,也不包含在 CVE 安全列表中。
如何將暴露或漏洞新增到 CVE?
當研究人員在軟體或韌體中發現錯誤或設計錯誤時,就會新增 CVE。它不需要被供應商視為漏洞才能被標記為 CVE。但是,研究人員可能需要證明它如何能夠在漏洞利用中使用。主張的強度越高,其被新增到 CVE 中並獲得漏洞資料庫中高通用漏洞評分系統分數的可能性就越大。由知名製造商或其他可靠來源報告的潛在 CVE 通常會迅速包含在 CVE 列表中。
234 次檢視
