CVE(Common Vulnerabilities and Exposures通用漏洞披露)笔记

产生背景:目前实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,即基于知识库的技术,因此决定一个IDnA(Intrusion Detection and Assessment 实时入侵检测和漏洞扫描评估)技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。但在安全产业中存在着安全漏洞与系统缺陷等安全问题命名混乱的现象,需要进行标准化。
什么是CVE:CVE(Common Vulnerabilities and Exposures通用漏洞披露),是国际上一个著名的漏洞知识库,也是目前在国际上最具公信力的安全弱点披露与发布单位,CVE组织是一个由企业界、政府界和学术界综合参与的国际组织,其使命是通过非盈利的组织形式,对漏洞与暴露进行统一标识,使得用户和厂商对漏洞与暴露有统一的认识,从而更加快速而有效地去鉴别、发现和修复软件产品的脆弱性。CVE于1999年9月建立,目前其命名方案由MITER公司主持。

漏洞(Vulnerability)与暴露(Exposure):在所有合理的安全策略中都被认为是有安全问题的称之为“Vulnerability”,漏洞可能导致攻击者以其他用户身份运行,突破访问限制,转攻另一个实体,或者导致拒绝服务攻击等。对那些在一些安全策略中认为有问题,在另一些安全策略中可以被接受的情况,称之为“Exposure”,暴露可能仅仅让攻击者获得一些边缘性的信息,隐藏一些行为;可能仅仅是为攻击者提供一些尝试攻击的可能性;可能仅仅是一些可以忍受的行为,只有在一些安全策略下才认为是严重问题。如,finger服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,因此不能说该服务本身有安全问题,宜定义为Exposure而非Vulnerability.

CVE的特点:为每个漏洞和暴露确定了唯一的名称;给每个漏洞和暴露一个标准化的描述;不是一个数据库,而是一个字典;任何完全迥异的漏洞库都可以用同一个语言表述;由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作;可以成为评价相应工具和数据库的基准。

CVE认证:CVE兼容(CVE Compatible)意味着一个工具、网站、数据库或者其它安全产品使用CVE名称,并且允许与其它使用CVE命名方式的产品交叉引用。通常,各家企业产品在获得CVE最高级别认证(CVE Compatible)之前,需经过5个评审阶段,这包括:CVE Intent Declared、Declared CVE Output、Declared CVE Searchable、Declared CVE Output &Searchable和CVE Compatibility Questionnaire Posted