CVE(Common Vulnerabilities and Exposures)漏洞是一个网安技术术语,用于描述和标识信息安全领域的已知漏洞和安全风险。CVE是一个公开的列表或数据库,它为各种公开知晓的信息安全漏洞和风险提供了标准化的名称。
每个CVE标识符都是唯一的,并按照一定的格式命名。这些标识符允许安全专家和研究人员在讨论、分析或修复特定的漏洞时保持一致性。
一、CVE识别号
CVE 识别号由 CVE 编号管理机构(CNA)分配。全球目前约有 100 个 CNA,包括各大 IT 供应商以及安全公司和研究组织。MITRE 也可以直接发布 CVE。
MITRE 向每个 CNA 发放了一个 CVE 编号池,用于在发现新问题时将编号连接至新问题。每年,都有数以千计的 CVE ID 发放出来。单个复杂产品(如操作系统)可能会累积数百个 CVE。
任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户,都有可能发现缺陷,并促使他人予以关注。很多供应商都会提供错误报告奖励,以鼓励相关人员负责任地披露各种安全缺陷。
再通过种种渠道,该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID,然后编写简短描述并附上参考资料。然后,CVE 条目就会被发布 CVE 网站上。
通常会在公开安全公告之前分配 CVE ID。供应商一般会对安全缺陷保密,直至相关修复已完成开发和测试。这样可以降低未修补漏洞被攻击的风险。公布时,CVE 条目中会包含 CVE ID(格式为"cve-2019-1234567")、安全漏洞的简短描述和相关的参考资料(可能包括漏洞报告和公告的链接)。
每个新的CVE条目都会按照这个公式获得一个唯一的ID
CVE+ 年份 + 数字编号 =CVE-2021-14451
除了唯一的ID之外,每个CVE还会收到一个输入日期,表明它是由Mitre创建的,后面往往会跟着一个单独的描述字符和一个引用字段。如果漏洞不是由Mitre直接报告的,而是由另一个漏洞追踪机构或咨询委员会首先指定的话,则参考字段将包括首先提交漏洞的漏洞追踪机构的URL链接。参考字段中可能还会出现受到CVE影响的产品页面的链接。
二、CVE的定义
不是所有漏洞都能被录入CVE,只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件:
1.可以单独修复
该缺陷可以独立于所有其他错误进行修复。
2.已得到相关供应商的确认或已记录在案
软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。或者,报告者本应共享一份相关漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。
3.会影响某个代码库
如果缺陷会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该缺陷才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE。
三、CVE、CWE以及CVSS三者的区别
1.CVE和CWE的区别
CVE指的是产品或系统内漏洞的特定示例。而CWE指的是软件缺陷的类型。因此,实际上,CVE是一个已知示例的列表,而CWE是一本软件漏洞的参考书。
2.CVE和CVSS的区别
CVE和CVSS的区别在于:CVE是漏洞列表,而CVSS是分配给特定漏洞的综评分数。而且,CVSS和CVE可以一起运行,以帮助您对软件漏洞进行优先级排序。
四、CVE的特点与作用
CVE主要包含了以下特点:
1.为每个漏洞和暴露确定了唯一的名称
2.给每个漏洞和暴露一个标准化的描述
3.不是一个数据库,而是一个字典
4.任何完全迥异的漏洞库都可以用同一个语言表述
5.由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协 同工作
6.可以成为评价相应工具和数据库的基准
7.非常容易从互联网查询和下载
8.通过"CVE编辑部"体现业界的认可
CVE只是一个漏洞描述的标准,是一个关于漏洞的列表,如果想更好的利 用它,那么建立一个完善的数据库系统是非常必要的。如果没有CVE,每个IT供应商或安全组织都维护自己的漏洞数据库,数据无法共享,大家对漏洞的认识也不统一。CVE为漏洞赋予唯一编号并标准化漏洞描述,主要作用如下:
1.IT人员、安全研究人员基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。
2.不同的系统之间可以基于CVE编号交换信息
3.安全产品或安全工具开发者可以将CVE作为基线,评估产品的漏洞检测覆盖范围
那么问题来了,如果遇到CVE漏洞攻击应该怎么办?
五、如何防护CVE攻击
构建多层防御体系是应对CVE攻击的关键。这包括网络层面的防御、系统层面的防御以及应用层面的防御。
1.网络层面防御:通过部署防火墙、入侵检测系统等网络安全设备,对进出网络的数据流进行监控和过滤,阻止恶意流量的传播。同时,采用SSL等加密技术,保护数据传输的安全性。
2.系统层面防御:定期更新操作系统和应用软件,及时修补已知漏洞。同时,关闭不必要的服务和端口,减少攻击面。此外,采用访问控制、权限管理等措施,限制对敏感数据和关键资源的访问。
3.应用层面防御:对Web应用、数据库等关键应用进行安全加固,采用输入验证、参数过滤等技术,防止SQL注入、跨站脚本攻击等常见攻击手段。同时,加强应用日志的收集和分析,及时发现和应对潜在的安全威胁。
除此之外也可以考虑使用漏洞扫描服务 VSS,漏洞扫描服务(Vulnerability Scan Service)集Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,自动发现网站或服务器在网络中的安全风险,为云上业务提供多维度的安全检测服务,满足合规要求,让安全弱点无所遁形。主要的优势在于:
1.扫描全面:涵盖多种类型资产扫描,支持云内外网站和主机扫描,支持内网扫描、智能关联各资产之间的联系,自动发现资产指纹信息,避免扫描盲区。
2.高效精准:采用web2.0智能爬虫技术,内部验证机制不断自测和优化,提高检测准确率,时刻关注业界紧急CVE爆发漏洞情况,自动扫描,最快速了解资产安全风险。
3.简单易用:配置简单,一键全网扫描。可自定义扫描事件,分类管理资产安全,让运维工作更简单,风险状况更清晰了然。
4.报告全面:清晰简洁的扫描报告,多角度分析资产安全风险,多元化数据呈现,将安全数据智能分析和整合,使安全现状清晰明了。
综上所述,应对CVE攻击需要构建高技术含量的防御策略。通过了解CVE攻击的本质、构建多层防御体系、采用先进的安全技术以及加强人员培训和安全意识教育等措施,我们可以有效降低CVE攻击的风险,保障网络安全的稳定运行。