CVE چیست و چگونه عمل می‌کند؟

CVE چیست؟

CVE، مخفف عبارت Common Vulnerabilities and Exposures است و لیستی از نقایص امنیتی رایانه‌ای می‌باشد که به طور عمومی افشا ‌‌‌می‌شود. وقتی کسی به CVE اشاره ‌‌‌می‌کند، منظور او یک نقص امنیتی است که به آن شماره شناسه CVE تخصیص داده شده‌است.

مشاوره‌های امنیتی ارائه شده توسط وندورها و محققان تقریباً همیشه حداقل به یک شناسه CVE اشاره ‌‌‌می‌کنند. CVE ها به متخصصان فناوری اطلاعات کمک ‌‌‌می‌کنند تا تلاش خود را برای اولویت بندی و رفع این آسیب پذیری‌ها برای ایمن‌‌‌‌تر کردن سیستم‌های رایانه‌ای هماهنگ کنند.

سیستم CVE چگونه کار ‌‌‌می‌کند؟

نظارت بر CVE توسط شرکت میتر (MITRE corporation)با بودجه آژانس امنیت مجازی و امنیت زیرساختی انجام ‌‌‌می‌شود، که بخشی از وزارت امنیت داخلی ایالات متحده است.
ورودی‌های CVE مختصر هستند. آن‌ها شامل داده‌های فنی یا اطلاعات مربوط به خطرات، تأثیرات و اصلاحات ‌نمی‌شوند. این جزئیات در پایگاه داده‌های دیگر از جمله پایگاه داده‌‌‌‌‌ی آسیب‌پذیری ایالات متحده (NVD)، Vulnerability CERT / CC Notes Database و لیست‌های مختلفی ظاهر ‌‌‌می‌شوند که توسط وندورها و سازمان‌های دیگر نگهداری ‌‌‌می‌شوند. در میان این سیستم‌های مختلف، شناسه‌های CVE به کاربران راهی مطمئن برای تشخیص یک نقص امنیتی منحصر به فرد ‌‌‌می‌دهد.

بیشتر بخوانید:

درباره شناسه‌های CVE

شناسه‌های CVE توسط یک مرجع شماره گذاری CVE یعنی (CNA) تعیین ‌‌‌می‌شود. حدود صد CNA وجود دارد که نمایندگان عمده وندورهای فناوری اطلاعات و همچنین شرکت‌های امنیتی و سازمان‌های تحقیقاتی هستند. میتر همچنین ‌‌‌می‌تواند مستقیماً CVE صادر کند.

به CNA ها بلوک‌های CVE اختصاص داده ‌‌‌می‌شود که به منظور دوراندیشی ذخیره ‌‌‌می‌شوند تا به مشکلات جدیدی رسیدگی کنند که کشف ‌‌‌می‌شوند. سالانه هزاران شناسه CVE صادر ‌‌‌می‌شود. یک محصول مرکب، مانند یک سیستم عامل، ‌‌‌می‌تواند صدها CVE را ذخیره کند.

گزارش‌های CVE ‌‌‌می‌توانند از هر کجا تهیه شوند. یک فروشنده، یک محقق یا فقط یک کاربر تیزبین ‌‌‌می‌تواند متوجه نقصی شود و دیگران را آگاه کند. بسیاری از فروشندگان برای تشویق افشای مسئولانه نقص امنیتی، باگ بانتی‌ها را پیشنهاد ‌‌‌می‌دهند. اگر در نرم‌افزار رایگان آسیب‌پذیری یافتید باید آن را به انجمن گزارش کنید.

به هر حال اطلاعات مربوط به نقص به یک CNA راه پیدا ‌‌‌می‌کند. CNA اطلاعات را به یک شناسه CVE اختصاص ‌‌‌می‌دهد و شرح مختصری ‌‌‌می‌نویسد و مرجع‌ها را ذکر ‌‌‌می‌کند. سپس ورودی CVE در وب سایت CVE ارسال ‌‌‌می‌شود.

اغلب، شناسه CVE قبل از علنی شدن مشاوره امنیتی اختصاص ‌‌‌می‌یابد. وندورها معمولا تا زمانی که یک راه حل ارائه و آزمایش نشده باشد، نقایص امنیتی را مخفی نگه ‌‌‌می‌دارند. این باعث ‌‌‌می‌شود تا مهاجمان فرصت اکسپلویت کردن نقصی که هنوز پچ نشده است را نداشته باشند.

پس از علنی شدن، ورودی CVE شامل شناسه CVE (در قالب CVE-2019-1234567)، شرح مختصری از آسیب‌پذیری یا افشای امنیت و منابع است که ‌‌‌می‌تواند شامل لینک‌هایی به گزارشات آسیب‌پذیری و مشاوره‌ها باشد.

چه شرایطی برای CVE لازم است؟

شناسه‌های CVE به نقایصی اختصاص ‌‌‌می‌یابد که مجموعه خاصی از معیارها را داشته باشد. آن‌ها باید:

1. به‌طور مستقل قابل اصلاح باشند.

نقص بتواند به‌طور مستقل از هر نقص نرم‌افزاری دیگری برطرف شود.

2. توسط وندور آسیب دیده تأیید یا مستند شده باشد.

وندور نرم‌افزار یا سخت‌افزار، اشکال و تأثیر منفی آن بر امنیت را تأیید ‌‌‌‌کند. کسی که نقص را گزارش ‌‌‌می‌کند، باید یک گزارش آسیب‌پذیری را به اشتراک گذاشته باشد که تأثیر منفی اشکال را نشان ‌‌‌می‌دهد که این نقص، سیاست امنیتی سیستم آسیب را نقض کرده باشد.

3. بر یک پایگاه کد تأثیر بگذارد.

نقص‌هایی که بیش از یک محصول را تحت تأثیر قرار ‌‌‌می‌دهد، CVE جداگانه دریافت ‌‌‌می‌کنند.

در مورد کتابخانه‌ها، پروتکل‌ها یا استانداردهای مشترک، تنها در صورتی که راهی برای استفاده از کد مشترک بدون آسیب پذیری وجود نداشته باشد، نقص تنها یک CVE دریافت ‌‌‌می‌کند. در غیر این صورت هر پایگاه کد یا محصول آسیب دیده یک CVE منحصر به فرد دریافت ‌‌‌می‌کند.

سیستم امتیازدهی آسیب‌پذیری عام چیست؟

روش‌های مختلفی برای ارزیابی شدت آسیب‌پذیری وجود دارد. یکی از آن‌ها سیستم امتیازدهی آسیب‌پذیری عام (CVSS) است که در آن مجموعه‌ای از استانداردهای باز، برای ارزیابی شدت یک آسیب‌پذیری یک عدد به آن اختصاص ‌‌‌می‌دهند. امتیازات CVSS توسط NVD، CERT و سایر برنامه‌ها برای ارزیابی تأثیر آسیب‌پذیری استفاده ‌‌‌می‌شود. امتیازات از 0/0 تا 10/0است، که هرچه اعداد بالاتر باشند، نشان دهنده درجه بالاتری از شدت آسیب‌پذیری است. بسیاری از وندورهای امنیتی نیز سیستم‌های امتیازدهی خود را ساخته‌اند.

سه نکته‌‌‌‌‌ی اصلی

استقرارات خود را بشناسید. صرف وجود CVE به این معنی نیست که این خطر بر محیط خاص و استقرار شما اعمال ‌‌‌می‌شود. اطمینان حاصل کنید که هر CVE را بررسی می‌کنید و با صحت سنجی این موضوع که نقص بر روی سیستم‌عامل‌تان، برنامه، ماژول‌ها و پیکربندی‌هایی که در محیط منحصر به‌فردتان پیکربندی شده‌اند، پی ببرید که آیا به راستی در محیط تان اعمال ‌‌‌می‌شود یا خیر.

مدیریت آسیب‌پذیری را تمرین کنید. مدیریت آسیب‌پذیری فرایندی قابل تکرار برای شناسایی، طبقه بندی، اولویت بندی، اصلاح و کم اثر کردن آسیب‌پذیری‌ها است. این به معنی درک این موضوع است که چگونه برای سازمان‌تان خطری بوجود ‌‌‌می‌آید، تا بتوانید آسیب‌پذیری‌های حل نشده‌ای را که باید برطرف شوند به درستی اولویت بندی کنید.

آماده برقراری ارتباط باشید. CVE‌ ها، هم به دلیل آسیب‌پذیری‌های خود و هم به دلیل هرگونه مدت خرابی احتمالی که نیاز به برطرف شدن دارد، سیستم‌های سازمان شما را تحت تأثیر قرار ‌‌‌می‌دهند. با مشتریان داخلی خود ارتباط برقرار کرده و هماهنگ کنید و آسیب‌پذیری‌ها را با هر مسئول مرکزی مدیریت ریسک در سازمان خود درمیان بگذارید.

نحوه‌‌‌‌‌ی کار رد هت با CVE

رد هت به عنوان یکی از مشارکت کنندگان اصلی نرم‌افزارهای منبع باز، به طور مداوم درگیر جامعه امنیتی است. ‌‌‌‌‌رد هت یک مرکز شماره‌گذاری CVE (CNA) است و از شناسه‌های CVE برای ردیابی آسیب‌پذیری‌های امنیتی استفاده ‌‌‌می‌کند. ‌‌‌‌‌رد هت سکوریتی بروزرسانی های یک پایگاه داده امنیتی باز و مرتباً به روز شده را نگهداری ‌‌‌می‌کند که ‌‌‌می‌توانید آن را با شماره CVE ملاحظه کنید.

Red Hat Security Data API چیست؟

Red Hat Product Security امکان دسترسی به داده‌های امنیتی خام را در صفحه‌ی Security Data خود و در یک قالب مصرفی رایانه با Security Data API فراهم ‌‌‌می‌کند.

علاوه بر گزارش‌های امنیتی و معیارهایی که ‌‌‌‌‌رد هت تولید ‌‌‌می‌کند، مشتریان ‌‌‌می‌توانند از این داده‌های خام برای تولید معیارهای خاص خود برای شرایط خاص خود استفاده کنند.

داده‌های ارائه شده توسط Security Data API شامل تعاریف OVAL (که مخفف عبارت Open Vulnerability and Assessment Language می‌باشد)، اسناد Common Vulnerability Reporting Framework (CVRF) و داده‌های CVE است. داده‌ها در قالب XML یا JSON در دسترس هستند.