IP知識百科之CVE

CVE（Common Vulnerabilities and Exposures）的全稱是公共漏洞和暴露，是公開披露的網(wǎng)絡(luò)安全漏洞列表。IT人員、安全研究人員查閱CVE獲取漏洞的詳細(xì)信息，進(jìn)而根據(jù)漏洞評分確定漏洞解決的優(yōu)先級。

CVE如何形成的

CVE這個組織最初由麻省理工學(xué)院在1999年建立，是一個非營利性組織，CVE漏洞信息由CVE組織機(jī)構(gòu)的網(wǎng)站承載，網(wǎng)站上的CVE信息是公開的，可以在法律許可前提下免費(fèi)使用。每個漏洞都被分配一個稱為CVE標(biāo)識符的編號，編號格式為“CVE-年份-編號”。CVE的發(fā)布主體是CVE編號機(jī)構(gòu)CNA，當(dāng)前大約有100個CNA，由來自世界各地的IT供應(yīng)商、安全公司和安全研究組織組成。CNA主要根據(jù)如下規(guī)則判定是否為漏洞分配CVE編號：

漏洞可獨(dú)立修復(fù)，與其他漏洞沒有耦合。

軟件或硬件供應(yīng)商承認(rèn)此漏洞的存在或有書面公告。

漏洞只影響一個代碼庫，如果漏洞影響多個產(chǎn)品，則為每個產(chǎn)品獨(dú)立分配CVE編號。

每個CVE條目主要包含以下信息：

描述：漏洞的來源、攻擊方式等簡要描述。

參考：漏洞的相關(guān)參考信息鏈接匯總，如漏洞公告、緊急響應(yīng)建議等。

發(fā)布的CNA：發(fā)布此CVE的CNA。

發(fā)布日期：此CVE的發(fā)布日期。

CVE有什么作用

如果沒有CVE，每個IT供應(yīng)商或安全組織都維護(hù)自己的漏洞數(shù)據(jù)庫，數(shù)據(jù)無法共享，大家對漏洞的認(rèn)識也不統(tǒng)一。CVE為漏洞賦予唯一編號并標(biāo)準(zhǔn)化漏洞描述，主要作用如下：

IT人員、安全研究人員基于相同的語言理解漏洞信息、確定修復(fù)漏洞的優(yōu)先級并努力解決漏洞。

不同的系統(tǒng)之間可基于CVE編號交換信息。

安全產(chǎn)品或工具開發(fā)者可將CVE作為基線，評估產(chǎn)品的漏洞檢測覆蓋范圍。

CVE與CVSS的關(guān)系

通用漏洞評估系統(tǒng)（Common Vulnerability Scoring System，CVSS）是廣泛應(yīng)用的漏洞評分開放標(biāo)準(zhǔn)。CVSS的分值代表漏洞的嚴(yán)重程度，分值范圍為0.0到10.0，數(shù)字越大漏洞的嚴(yán)重程度越高。CVSS評分往往是漏掃工具、安全分析工具不可或缺的信息。CVE單純是漏洞的字典庫，CVE列表中不包含CVSS分值，需要使用其他漏洞管理系統(tǒng)查閱CVSS分值。IT人員結(jié)合CVE信息和CVSS確定漏洞解決優(yōu)先級。

CVE在安全產(chǎn)品中的應(yīng)用

安全產(chǎn)品在開發(fā)過程中需要緊跟CVE漏洞信息，使產(chǎn)品盡可能多地檢測CVE漏洞，保護(hù)用戶網(wǎng)絡(luò)安全。

根據(jù)CVE信息快速更新簽名庫

IPS功能基于簽名庫檢測入侵行為，簽名庫中簽名的一類主要來源就是漏洞簽名。安全團(tuán)隊使用CVE跟蹤最新漏洞，快速推出新簽名，甚至在IT供應(yīng)商推出修復(fù)程序之前阻斷攻擊保護(hù)用戶網(wǎng)絡(luò)。

日志報表集成CVE信息

在入侵事件的日志報表中，攻擊詳情中包含漏洞對應(yīng)的CVE編號、參考鏈接，用戶可以據(jù)此深入了解漏洞詳細(xì)信息并制定安全措施。

安全中心發(fā)布IPS威脅知識庫

安全中心基于CVE、CVSS評分等信息向用戶發(fā)布更詳細(xì)的IPS威脅知識庫，其中包括漏洞級別、修復(fù)建議等信息。

編輯：jq