数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究网络安全中的常见漏洞和披露 (CVE) 是什么?
什么是 CVE?
常见漏洞和披露 (CVE) 是一种参考系统或列表,其功能类似于信息安全风险的字典,这些风险是众所周知的。CVE 列表上列出的每个漏洞或弱点都有一个唯一且标准化的 CVE 名称。
美国国土安全部网络安全部门 (NCSD) 赞助了 CVE,MITRE 公司维护了 CVE。公众可以访问 CVE 字典,这是一个共享的信息安全漏洞信息集合。信息安全漏洞是指软件编码错误,它允许黑客访问信息系统并执行非法操作,同时假冒合法用户。被称为“暴露”的软件缺陷使黑客能够访问系统。攻击者可以在暴露期间获取信息或掩盖非法行为。
CVE 列表上的项目根据其正式添加到列表的年份以及当年添加的顺序命名。CVE 帮助计算机安全工具制造商查找缺陷和漏洞。在 CVE 之前,工具有自己的专有漏洞数据库,并且没有通用的词汇表。CVE 的主要目标是促进跨各种漏洞数据库和安全解决方案的数据共享。
CVE 的基础
CVE 数据库包含一个条目列表,每个条目都包含一个公共参考、一个识别号和一个描述。每个 CVE 中都列出了一个唯一的漏洞或暴露。根据 CVE 网站的说法,漏洞被描述为软件代码中的错误,使攻击者能够直接访问系统或网络。具有这种访问权限的攻击者可能会以超级用户或系统管理员的身份完全控制系统。另一方面,暴露是疏忽,它允许攻击者未经授权访问系统或网络。攻击者可以使用这种访问权限收集客户端信息以出售。
总的来说,CVE 项目开发了一个用于查找和分类漏洞和暴露的框架。
识别漏洞或暴露是 CVE 列表创建过程的第一步。然后,CNA 将为漏洞分配一个 CVE 识别号。然后,CNA 以书面形式记录问题并包含来源。然后,完整的 CVE 条目发布在 CVE 网站上并添加到 CVE 列表中。
对于每个不同的暴露或漏洞,CVE 提供一个唯一的、独特的标识。需要注意的是,它更像一个字典而不是一个数据库。每个条目简短的描述中没有太多技术信息、特定影响的信息或修复信息。相反,这些信息可以在其他数据库中找到,例如 CERT/CC 漏洞说明数据库或美国国家漏洞数据库 (NVD)。
漏洞与暴露有何不同?
漏洞是指可以被利用以进入计算机系统或在其上执行未经授权的操作的弱点。为了窃取、删除或操纵敏感数据,攻击者可以利用漏洞直接访问系统或网络、运行程序、安装恶意软件并访问内部系统。如果未被发现,它可能会使攻击者能够假装自己是具有完全访问权限的超级用户或系统管理员。
暴露是指允许攻击者访问系统或网络的错误。由于暴露,攻击者可能能够访问和窃取个人身份信息 (PII)。一些最大的数据泄露并非由于复杂的网络攻击导致,而是由于无意的暴露导致的。
CVE 的局限性是什么?
由于 CVE 不旨在成为漏洞数据库,因此它有意缺少有效管理漏洞所需的一些数据。CVE 记录仅包含安全漏洞的简要摘要以及指向 CVE 其他信息来源的链接,例如供应商公告。
直接供应商网站和 NIST 国家漏洞数据库都包含有关每个 CVE 的更多详细信息 (NVD)。信息安全团队通常需要 NVD 提供的基于 CVSS 的分数、修复信息和其他关键事实,以便减轻漏洞或确定其总体优先级。
此外,CVE 仅指示尚未修补的软件中的缺陷。现代基于风险的漏洞管理方法认识到可以对组织构成风险的众多不同的“漏洞”。必须识别和解决这些“漏洞”。传统的漏洞管理程序将未修补的软件视为需要解决的主要问题。其中许多不是 CVE,也不包含在 CVE 安全列表中。
如何将暴露或漏洞添加到 CVE?
当研究人员在软件或固件中发现错误或设计错误时,就会添加 CVE。它不需要被供应商视为漏洞才能被标记为 CVE。但是,研究人员可能需要证明它如何能够在漏洞利用中使用。主张的强度越高,其被添加到 CVE 中并获得漏洞数据库中高通用漏洞评分系统分数的可能性就越大。由知名制造商或其他可靠来源报告的潜在 CVE 通常会迅速包含在 CVE 列表中。
234 次查看
