Bežné chyby zabezpečenia a vystavenia (CVE)

Bežné chyby zabezpečenia a vystavenia (CVE) je zoznam bezpečnostných chýb v počítačoch zoradených podľa kritických kritérií, ktoré majú pomôcť jednotlivcom a spoločnostiam posúdiť riziko, ktoré predstavuje zraniteľnosť alebo vystavenie sa im. Keď sa niekto odvoláva na CVE, zraniteľnosť môžete ľahko nájsť vyhľadávaním a vďaka štruktúrovanému a konzistentnému preskúmaniu a dokumentovaniu zraniteľnosti alebo expozície konzistentným spôsobom môžete ľahko určiť kritickosť rizika pre vašu organizáciu. Bezpečnostné upozornenia vydané dodávateľmi alebo výskumníkmi takmer vždy uvádzajú aspoň jedno ID CVE. 

Záznamy CVE sú stručné, neobsahujú technické údaje ani informácie o potenciálnych dopadoch či samotných opravách. Tieto podrobnosti sa nachádzajú v iných databázach vrátane Národná databáza zraniteľností USA (NVD)sa Databáza poznámok o zraniteľnostiach CERT/CCa ďalšie zoznamy spravované príslušným dodávateľom alebo inými organizáciami zaoberajúcimi sa kybernetickou bezpečnosťou. V týchto rôznych systémoch poskytujú identifikátory CVE používateľom spoľahlivý spôsob, ako opakovateľne pochopiť jedinečné bezpečnostné chyby.

Súvisiaci štandard pre hodnotenie kritickosti CVE sa nachádza v Common Vulnerability Scoring System (CVSS), súbor otvorených štandardov na priradenie čísla zraniteľnosti s cieľom posúdiť jej závažnosť. Skóre CVSS je uvedené v CVE, NDVa CERT upozornenia. Skóre sa pohybuje od 0.0 do 10.0, pričom vyššie čísla predstavujú vyšší stupeň závažnosti zraniteľnosti. Mnoho dodávateľov bezpečnostných riešení si tiež vytvorilo vlastné systémy hodnotenia.

CVE je riadené MITER Corporation, ktorý je financovaný z prostriedkov Programu pre kybernetickú bezpečnosť a Agentúra pre bezpečnosť infraštruktúry (CISA), súčasť Ministerstva vnútornej bezpečnosti USA.

Mali by sa majitelia malých a stredných podnikov obávať CVE?

Áno. Každý malý alebo stredný podnik by mal mať proces na spracovanie kritických upozornení na zraniteľnosti, aby mohol rýchlo posúdiť riziko a robiť dôležité, časovo citlivé rozhodnutia o tom, ako reagovať. So zavedeným procesom riadenia upozornení na zraniteľnosti (VAMP) môžete mať jasný návod, kedy a ako vysoko treba reagovať v prípade danej zraniteľnosti alebo expozície (rizika).

Našťastie, CyberHoot ponúka šablónu pre organizácie, ktorá načrtáva proces VAMP založený na dlhoročných reakciách na zraniteľnosti „v zákopoch“ zo strany spoluzakladateľov CyberHootu. Opýtajte sa svojho MSP, koľko by mohlo stáť formalizácia tohto procesu pre vás ešte dnes.

Ak sa chcete dozvedieť viac o bežných zraniteľnostiach a rizikách (CVE), pozrite si toto krátke video:

Zabezpečte si svoje podnikanie s CyberHoot ešte dnes!!!

Zaregistrujte sa

zdroj: RedHat – CVE

Ďalšie čítanie:

Preskúmajte databázu CVE

Chyba v Linuxe, ktorú si nemôžete dovoliť ignorovať (CVE-2021-3156)

Kritická bezpečnostná chyba pre Apple a Linux – CyberHoot