在网络安全中解释CVE(通用漏洞和披露)和CVSS评分
cve(通用漏洞和公开漏洞)是一个公开可用的信息列表,帮助网络安全专业人士和组织识别已知的安全漏洞。
它由麻省理工学院研究院于1999年引入,该研究院是由美国政府资助的非营利组织。没错,它就是mitre att&ck的背后的同一家公司,这是一个可能比“网络杀伤链”更好的安全模型。
它已成为全球整个网络安全行业的标准。因此,任何希望使其网络安全策略保持最新或希望保护其系统的人都会参考cve。
cve是什么?
https://yaoweibin.cn/cve-and-cvss-score-cyber-security/cve是一个可以公开访问的目录,其中包含有关漏洞及其潜在安全性的信息。
它不是一个漏洞数据库,因为您没有足够的技术信息来了解漏洞的影响、修复等。cve的信息包括日期、参考编号和简要漏洞描述等。
网络安全行业中的每个人都参考cve以保持策略的最新性。您可以参考其在github页面上维护的cve列表,以查找、搜索或下载有关特定cve的信息。
需要注意的是,在cve中找到所有信息是不可能的。您仍然需要进行研究、及时了解最新情况,并密切关注每个漏洞。话虽如此,cve是一个庞大且有帮助的目录。
我们为什么需要cve?
虽然cve并非万能,但您能想象没有cve的网络安全吗?
cve使信息易于访问,并将漏洞分类为统一名称。网络安全专家可以通过检查与软件或系统相关的cve来快速寻找修复方法或防御威胁。
换句话说,它是网络安全风险评估过程的重要组成部分,因为您可以准确了解软件或系统存在的问题。
cve的目标
cve的主要目标是合作和共享关于漏洞和风险的知识,以更好地自我保护。
其中一些目标包括:
- 使每个人能够轻松理解/识别已知漏洞。
- 按年份对安全漏洞进行筛选。
- 促进知识共享,以更好地处理网络安全。
- 为漏洞数据库和安全工具比较添加更多见解。
当然,通过cve,人们可以更好地保护或解决产品或组织中的问题,以保护个人身份信息,并在出现问题时为数字取证增加见解。
下面是cve是如何创建的
cve只能由cve计划中的合作伙伴(或生成)分配。
合作伙伴可以是cve编号管理机构(cna),也可以担任cve计划中指定的角色。cna根据特定标准为漏洞分配id,我们将在读到的过程中探讨这些标准。
这些cve计划的合作伙伴可以分配和发布cve记录。一些例子包括微软、红帽和其他研究机构或赏金计划。
一旦发现漏洞,组织或供应商必须提供所需信息,以便将其视为cve的一部分。这些数据包括:
- 漏洞类型(sql注入,缓冲区溢出等)
- 供应商或产品团队是否确认/承认了该漏洞
- 攻击类型(物理,远程等)
- 漏洞的潜在影响
- 受漏洞影响的组件的详细信息
- 关于漏洞的详细信息
- 发现漏洞的人(个人/组织)的贡献
- 漏洞的公共参考
在报告漏洞时,所有这些信息必须由个人或组织提供。
此外,如果您不是cna并且想要报告漏洞,可以直接将其提交给cve,前提是供应商/产品的公司不是cna。
假设供应商是cve计划合作伙伴列表中的cna。您将不得不直接向他们报告漏洞,而不是向cve报告。
但是,在此之前,您必须确保漏洞在向任何人报告之前满足最低要求。最低要求包括以前没有报告过的漏洞,并且它不应是cna覆盖的产品(如果您以个人身份报告)。
此外,如果漏洞在网络上没有公共参考,那将会有所不同。如果没有公共参考,即使cve被接受,也会显示为“保留”,直到您提供一个包含公共信息的url。
什么是cvss?
通用漏洞评分系统(cvss)可让您了解cve中报告的安全漏洞的严重性(或影响)。cvss不由负责cve的同一组织管理。
cvss由另一个总部位于美国的非营利组织first.org拥有和管理。
cvss具有特定的规范,用于计算度量标准,并不断发展以应对漏洞的复杂性。编写本文时,cvss 3.1是大家参考的最新规范。
虽然0-10分的编号系统听起来很简单,但它有三个度量组。
基本分数是漏洞的严重程度。然后,随着时间的推移,暂时分数由于与漏洞的外部交互而发生变化。最后,还有一个与cve受影响的特定组织的影响相关的环境分数。
基本度量也称为“漏洞”组件。它考虑了漏洞是如何被利用以及是什么使其更加有效。例如利用手段(远程/本地),外部条件,特权级别,用户交互以及其影响范围。
临时度量随着条件和时间的变化而变化,因为它考虑了利用漏洞的代码是否公开可用,以及漏洞是否未修补。它还考虑了是否有关于漏洞的详细信息。
有时候,漏洞的根本原因是未知的。在这种情况下,分数会降低,如果与cve相关的每个细节都是特定的,分数会更高。
最终,环境指标是针对受影响的供应商或组织而定的。它考虑了漏洞的影响、受影响的资产以及对可用性、机密性和完整性的影响程度。
它也可以被称为“修改后的基本指标”,因为它考虑了相同的因素,但仅适用于特定组织。
下面是它在国家漏洞数据库(nvd)中的表示方式:
在每个数据库中,我们通常只能看到基本评分。您可能在任何漏洞数据库中找到其他评分,也可能找不到。
基本评分组范围如下:
- 0 → 无
- 0.1-3.9 → 低
- 4.0-6.9 → 中
- 7.0-8.9 → 高
- 9.0-10.0 → 严重
评分越高,情况越严重。
因此,如果一个cve包含较高的基本评分,应将其视为优先考虑找到修复方法或进行防御。
评分是如何计算的?
漏洞有几个方面,如它是否影响数据的可用性和完整性,以及利用它所需的特权。
对于基本指标、cvss评分,因素包括:
- 攻击向量(本地/物理、网络等)
- 攻击复杂性
- 所需特权
- 机密性影响
- 完整性影响
- 用户交互
- 范围
- 可用性影响
计算依赖于first.org指定的方程式。
这不像简单地提到一个公式;它有子公式,您必须参考其https://yaoweibin.cn/cve-and-cvss-score-cyber-security/官方规范文档来计算分数:
iss = 1 – [(1-confidentiality) x (1 – integrity) x (1 – availability)]
这里的iss是影响子分数。公式中的其他指标都有一个特定的常量值,如下:
机密性/完整性/可用性 → 高(0.56) | 低(0.22) | 无(0)
如果听起来太复杂,可以使用https://yaoweibin.cn/cve-and-cvss-score-cyber-security/nvd计算器生成所有指标组的分数,而无需担心它是如何计算的。
顶级cve列表
报告的顶级(或热门)cve并不一定是cvss评分最高的cve。
偶尔会有一个cve会影响大量的软件和使用它的组织,这使得它成为更值得关注的漏洞。
例如,cve-2021-41617是一个允许在openssh中进行特权升级的漏洞。它虽然在2021年被报告,但最近也进行了更新。
还有apache的log4j漏洞(cve-2021-44228),整个行业都对此感到担忧,并鼓励像cisa这样的安全机构发布了https://yaoweibin.cn/cve-and-cvss-score-cyber-security/公开指南。
您可以查阅漏洞数据库以筛选出您关心的顶级cve。但是并没有特定的排名来筛选顶级cve。
cve和cvss:为了更好的网络安全而合作
尽管cve和cvss的目的不同,但两者都有助于改善网络安全防御。
cve可以帮助开发人员和网络安全专家了解产品或系统中的相关漏洞。
另一方面,cvss通过告诉我们cve报告的重要性以及对组织/供应商的优先级,使信息更有意义。
作为示例,您可以查看《国家漏洞数据库》或《vuldb》。
国家漏洞数据库
《国家漏洞数据库》(nvd)是由美国国家标准与技术研究所(nist)维护的得到美国政府支持的数据库。
访问该网站时,您可以浏览网络安全领域中所有已知的漏洞,并查看最新报告的漏洞。您可以获得有关漏洞的所有必要细节,包括cve、cvss(根据最新规范)、报告时间和发布日期。
vuldb
《vuldb》是一个提供免费获取最新信息的漏洞数据库。
它还提供高级订阅,以更好地了解漏洞。需要支持、技术细节、覆盖范围、威胁情报等的用户可以选择付费订阅。
另一方面,安全咨询可能会按照其cvss列出cve,以突出其重要性或反映其优先顺序。
例如:
- https://yaoweibin.cn/cve-and-cvss-score-cyber-security/ubuntu的安全通知:它们描述了漏洞和受影响软件包以及相关的cve
- https://yaoweibin.cn/cve-and-cvss-score-cyber-security/android安全公告:它列出了受影响的产品以及相关的cve
在某些情况下,比如microsoft,您必须注册以接收安全通知并及时了解最新情况。
从本质上讲,它们都没有任何限制。然而,它们并不能给您提供漏洞的完整情况。您仍然需要使用漏洞数据库对报告的cve进行研究和了解,并评估产品或系统以查看如何修复或防御。
切勿忘记,cve和cvss对终端用户可能是无用的。您应该专注于https://yaoweibin.cn/cve-and-cvss-score-cyber-security/<a href="https://yaoweibin.cn/cve-and-cvss-score-cyber-security/基础网络安全知识。
常见问题解答
cve与cvss的区别
cve是已知安全漏洞的列表,其中包括发现日期、简要描述和相关供应商等相关数据。cvss是一种评分系统,帮助网络安全专家了解cve的影响程度。
它们都由不同的美国非营利组织管理,但它们在各种应用场景中互为补充,有助于改善网络安全状况。
总结
我们需要大量的网络安全战略信息。有时候,这可能令人不知所措。
然而,将cve和cvss作为参考标准可以使事情变得更简单明了。
cve和cvss是需要考虑的重要因素,它们为更好的漏洞数据库铺平了道路。此外,它们使安全漏洞的信息易于访问和理解。您需要同时使用它们来赢得网络安全游戏。
你还可以探索一些最好的vulnerability management software来保护你的系统免受安全威胁,并保护你的数据安全。