Gubinsoft Solutions » Справка » Что такое CVE и NVD

Что такое CVE и NVD

09 июля 2021, Пятница
61
Программа Common Vulnerabilities and Exposures (CVE) - это словарь или глоссарий уязвимостей, которые были идентифицированы для определенных кодовых баз, таких как программные приложения или открытые библиотеки. Этот список позволяет заинтересованным сторонам получать подробную информацию об уязвимостях, обращаясь к уникальному идентификатору, известному как CVE ID. В последние годы его осведомленность растет, поэтому участникам и пользователям важно понимать основные элементы программы.

Программа CVE, основанная в 1999 году, поддерживается корпорацией MITER и спонсируется Министерством внутренней безопасности США (DHS) и Агентством кибербезопасности и безопасности инфраструктуры (CISA). Идентификаторы CVE в основном присваиваются MITER, а также уполномоченными организациями, известными как CVE Numbering Authorities (CNA) - международной группой поставщиков и исследователей из многих стран. В рамках проекта существует консультативный совет, в который входят важные участники исследований в области кибербезопасности, научных кругов и сообществ разработчиков программного обеспечения.

Программа CVE была создана с целью стать отраслевым стандартом для определения базового уровня уязвимостей, и вся информация, содержащаяся в проекте, общедоступна для любой заинтересованной стороны. Это дает заинтересованным сторонам общие средства обсуждения и исследования конкретных уникальных эксплойтов. Идентификаторы CVE также используются поставщиками и специалистами по кибербезопасности для исследований и выявления новых уязвимостей.

MITER и CNA не помогают в устранении или исправлении уязвимостей в списке CVE.

Идентификаторы CVE назначаются группой назначения CVE и CNA. Разнообразие CNA обеспечивает различные, но специфические области знаний для различных типов уязвимостей. Каждому CNA дается реалистичное количество возможных кандидатов в зависимости от их объема и способности своевременно проверять каждого из них. Регулярное обучение и переподготовка сотрудников CNA, а также установление иерархии CNA для управления различными органами помогают обеспечить строгое соблюдение руководящих принципов процесса и соблюдение стандартов.

CNA используют политику, известную как процесс подсчета, в дополнение к дереву решений о включении, чтобы определить, следует ли включать отдельную уязвимость в список CVE и нужно ли назначить более одного идентификатора CVE. Этот процесс начинается, когда репортер (обычно первоначальное лицо или организация (-а), обнаружившие ошибку) связывается с группой назначения CVE или соответствующим CNA для запроса идентификатора CVE.

Каждый CVE должен включать описание, которое либо предоставлено репортером, либо создано с использованием дополнительного шаблона группы назначения CVE. Это описание включает в себя тип уязвимости (например, переполнение буфера, разыменование нулевого указателя или подделка межсайтового запроса), поставщика продукта и уязвимые базы кода. Репортеры могут предоставить дополнительную информацию, такую как ожидаемое воздействие, векторы атак или состояние устранения. После завершения процесса проверки присваивается идентификатор CVE.

Теги RESERVED используются, когда идентификаторы CVE были назначены или потенциально назначены уязвимостям, которые требуют дополнительных сведений, прежде чем их можно будет завершить. Если уязвимость не подходит для публикации, CNA откажется от идентификатора CVE и пометит ее как REJECTED. Это может произойти из-за отсутствия квалифицирующих факторов, нарушений в процессе отчетности или запроса, который должен быть отозван первоначальным репортером.

Идентификатору CVE также может быть присвоен тег DISPUTED, если поставщик или другой авторитетный объект оспаривают действительность уязвимости. Это может произойти до или после публикации анализа Национальной базой данных уязвимостей.

Национальная база данных уязвимостей (NVD) должна анализировать каждую CVE после того, как она была опубликована в списке CVE, после чего она обычно становится доступной в NVD в течение часа. Как только CVE появится в NVD, аналитики могут начать процесс анализа. Время обработки может варьироваться в зависимости от CVE, доступной информации и количества CVE, опубликованных в течение определенного периода времени. Аналитики NVD используют справочную информацию, предоставленную вместе с CVE, и любую общедоступную информацию во время анализа для связывания справочных тегов, общей системы оценки уязвимостей (CVSS) v2.0, CVSS v3.1, CWE и заявлений о применимости CPE.

Ниже приводится общий обзор процесса анализа для CVE:
  1. Аналитик просматривает все справочные материалы, предоставленные с записью CVE, и присваивает соответствующие теги справочников. Это помогает организовать различные источники данных, чтобы помочь исследователям найти нужную информацию для своих нужд. Аналитик также выполняет ручной поиск в Интернете, чтобы гарантировать использование любой другой доступной и актуальной информации для процесса анализа. Аналитики NVD используют в процессе анализа только общедоступные материалы.
  2. Присваивается идентификатор списка общих уязвимостей (CWE), который классифицирует уязвимость. Аналитики NVD используют подмножество полного списка CWE, которое наилучшим образом представляет распределение конкретных типов уязвимостей. Это подмножество, известное как представление CWE-1003, было создано при координации с командой MITER CWE.
  3. Показатели пригодности для использования и воздействия CVSS V2.0 назначаются на основе общедоступной информации и руководящих принципов спецификации.
  4. Показатели пригодности для использования и воздействия CVSS V3.1 назначаются на основе общедоступной информации и руководящих принципов спецификации.
  5. Заявление о применимости Common Product Enumerator (CPE) связано с уязвимостью. Критерии соответствия CPE идентифицируют все потенциально уязвимое программное обеспечение и / или оборудование для уязвимости. Например, приложение может иметь несколько затронутых версий или должно работать в определенной операционной системе, чтобы быть уязвимым. Автоматизированные процессы могут ссылаться на критерии соответствия в заявлениях о применимости со словарем CPE, чтобы помочь в идентификации уязвимых продуктов в информационной системе организации.
  6. Результаты анализа проходят проверку качества другим более старшим аналитиком перед публикацией на веб-сайте и в потоках данных.
После публикации CVE и проведения анализа NVD может потребоваться дополнительное обслуживание или модификации. Могут быть добавлены ссылки, могут быть обновлены описания или может быть сделан запрос на реорганизацию набора идентификаторов CVE (например, один идентификатор CVE будет разделен на несколько). Кроме того, поставщик может оспорить действительность индивидуального идентификатора CVE. NVD прилагает усилия для повторного анализа CVE, которые были изменены после предыдущего анализа. NVD всегда ценит и поощряет обратную связь от сообщества, чтобы база данных и словарь CPE были точными и актуальными.

Всем уязвимостям в NVD присвоен идентификатор CVE, и поэтому они подчиняются приведенному ниже определению.
CVE определяет уязвимость как:
Слабость вычислительной логики (например, кода), обнаруженная в программных и аппаратных компонентах, которая при использовании приводит к негативному влиянию на конфиденциальность, целостность или доступность. Смягчение уязвимостей в этом контексте обычно включает изменения кодирования, но также может включать изменения спецификации или даже отказ от спецификации (например, удаление затронутых протоколов или функциональности в целом).

Основная цель программы Common Vulnerabilities and Exposures (CVE) - однозначно идентифицировать уязвимости и связывать конкретные версии кодовых баз (например, программного обеспечения и общих библиотек) с этими уязвимостями. Использование CVE гарантирует, что две или более сторон могут уверенно ссылаться на идентификатор (ID) CVE при обсуждении или обмене информацией об уникальной уязвимости. Для получения подробной информации о CVE можно обратиться к http://cve.mitre.org/ или к правилам подсчета CVE CNA на http://cve.mitre.org/cve/cna/CNA_Rules_v1.1.pdf.
Обсудить

Читайте также:

Типы электронных подписей
01 апреля 2021, Четверг
Типы электронных подписей
Программы-вымогатели
23 июня 2021, Среда
Программы-вымогатели
Основные отличия InnoDB и MyISAM
21 апреля 2021, Среда
Основные отличия InnoDB и MyISAM
Virtualmin и ее установка на сервер
08 апреля 2021, Четверг
Virtualmin и ее установка на сервер
Как добавить IPv6 на сервер
30 июня 2021, Среда
Как добавить IPv6 на сервер
Прокомментировать
Кликните на изображение чтобы обновить код, если он неразборчив
Партнеры
Yandex Cloud
OVH
Equinix
Reg.ru

Тут временно нет ничего

Автору в течение месяца будет лень что-то делать