• Program kelemahan dan pendedahan umum (CVE) telah lama wujud sekarang, membantu organisasi meningkatkan sikap siber cybersecurity mereka dengan menyediakan banyak pengetahuan tentang kelemahan dan pendedahan.
• Ia mewujudkan pengecam piawai bagi setiap kelemahan atau pendedahan yang didedahkan, supaya ia dapat diakses dengan mudah merentasi pelbagai sumber.
Dalam artikel ini, kami akan meneroka asas-asas CVE. Tetapi sebelum itu, mari kita rekap semula apa kelemahan dan pendedahan.
Kerentanan adalah kecacatan keselamatan yang mungkin dieksploitasi untuk melakukan serangan siber. Penjenayah menggunakan beberapa cara termasuk suntikan SQL, skrip silang tapak, dan penampan limpahan untuk mencari kelemahan untuk mengeksploitasi.
Banyak organisasi melabur dalam pasukan khusus yang menguji kelemahan dan menyediakan patch keselamatan. Penyebab kelemahan termasuk kata laluan lemah, kelemahan sistem operasi, pepijat pembangunan yang tidak disengajakan, dan input pengguna yang tidak terkawal, antara lain.
Pendedahan
Pendedahan adalah isu atau kesilapan yang membenarkan akses tidak dibenarkan ke rangkaian atau sistem.
Sebahagian daripada pelanggaran data secara besar-besaran adalah hasil pendedahan. Contoh terbaru ini adalah pangkalan data yang tidak dilindungi yang mendedahkan data lebih daripada 20 juta rakyat Ecuador.
Memahami CVE
Dikembangkan sebagai Kerentanan Umum dan Pendedahan, CVE menyediakan platform untuk berkongsi maklumat mengenai kelemahan yang diungkapkan.
• Ia dijalankan oleh MITER Corporation, sebuah pertubuhan bukan keuntungan.
• CVE bertujuan untuk berkongsi maklumat kerentanan dengan mudah dan menyediakan satu standard untuk menamakannya.
• ID CVE berada dalam format 'CVE-YYYY-NNNNN', di mana YYYY bermaksud tahun kerentanan dibuat awam atau ID CVE ditugaskan.
• Ia juga menyediakan Sistem Pemarkahan Kerentanan Bersama (CVSS) yang mentakrifkan keparahan kecacatan keselamatan yang didedahkan. Skor CVSS adalah antara 0.0 hingga 10.0; skor yang lebih tinggi menunjukkan tahap keterukan yang lebih tinggi.
CVE: Menimbang manfaat dan risiko
CVEs tersedia secara terbuka dan boleh dieksploitasi oleh pelaku jahat untuk melancarkan cyberattacks. Bagaimanapun, faedah-faedah tersebut menelan risiko ini.
• CVE hanya menyenaraikan kelemahan dan pendedahan yang didedahkan kepada umum. Ini membolehkan individu dan organisasi menyedari kecacatan keselamatan dan patch yang tersedia.
• Walaupun organisasi perlu menjaga beberapa kelemahan untuk memastikan keselamatan, seorang penggodam perlu mencari satu kecacatan untuk mengeksploitasi. Ini mengukuhkan kepentingan perkongsian maklumat mengenai kelemahan dan pendedahan.
Sumber:
https://cve.mitre.org/
https://cyware.com/hacker-news