CVE là gì? Tìm hiểu những thông tin chi tiết về CVE

Kiến thức cơ bản

Vinh Phạm

1420

09-05-2022

Đánh giá lỗ hổng bảo mật là một quá trình tìm kiếm, kiểm tra, nhận diện lỗi cũng như các phương pháp an toàn của ứng dụng và hệ thống. Với mục đích hỗ trợ quá trình trên, CVE đã ra đời giúp các chuyên gia công nghệ dễ dàng phân loại và xử lý lỗ hổng. 

Vậy CVE là gì? Ưu điểm mà nó mang lại là gì? Bài viết này Bizfly Cloudsẽ mang đến cho bạn đọc những thông tin cơ bản nhất về nó.

CVE là gì?

CVE (Common Vulnerabilities and Exposures) là một danh sách các lỗ hổng bảo mật thông tin được tiết lộ công khai. Mỗi một CVE đều sẽ có một ID định danh, thông tin mô tả chi tiết và hoàn toàn công khai. CVE giống như một cuốn từ điển chuẩn hoá miễn phí giúp các tổ chức cải thiện an ninh mạng.

Mục đích chính của CVE là xác định và phân loại từng lỗ hổng hoặc mức độ phơi nhiễm trong phần mềm và firmware. Điều này rất quan trọng vì ID tiêu chuẩn cho phép Chuyên viên bảo mật nhanh chóng tra cứu thông tin kỹ thuật về một lỗ hổng bảo mật và kịp thời xử lý. CVE được sử dụng bởi nhiều sản phẩm và dịch vụ liên quan đến bảo mật như quản lý và khắc phục lỗ hổng, phát hiện xâm nhập, quản lý sự cố, v.v.

CVE được giám sát, duy trì và công bố bởi tập đoàn MITRE và được tài trợ bởi Bộ An ninh Nội địa Hoa Kỳ (DHS). Kể từ khi chương trình CVE được bắt đầu vào năm 1999, đã có hơn 130.000 số CVE ID được công bố, có khoảng 12.000-15.000 CVE mới hàng năm.

Một số yếu tố làm ảnh hưởng tới một CVE

CVE ID được chỉ định cho các lỗ hổng bảo mật đáp ứng một bộ tiêu chí cụ thể. Những yếu tố đó là:

1. Có thể khắc phục lỗ hổng một cách độc lập

Lỗ hổng có thể được khắc phục một cách độc lập với bất kỳ lỗi nào khác mà không gây ảnh hưởng đến hệ thống chung

2. Được xác nhận bởi nhà cung cấp bị ảnh hưởng hoặc được ghi chép lại

Nhà cung cấp phần mềm hoặc phần cứng thừa nhận lỗi và nó có tác động tiêu cực đến bảo mật; Hoặc đã có một báo cáo hoặc một văn bản ghi chép chính thức về lỗ hổng bảo mật thể hiện tác động tiêu cực của nó cũng như xác định rằng nó vi phạm chính sách bảo mật của hệ thống bị ảnh hưởng.

3. Lỗ hổng ảnh hưởng đến một codebase

Một lỗ hổng chỉ tác động đến một codebase hoặc một sản phẩm bị ảnh hưởng. Một lỗ hổng bảo mật nêu ảnh hưởng đến nhiều codebase hoặc nhiều sản phẩm, nó sẽ có các CVE ID riêng biệt.

Hiểu hơn về CVE Identifier

Mỗi một CVE sẽ được gán với một con số cụ thể, được gọi là CVE Identifier (Mã định danh CVE). Nó được chỉ định bởi 1 trong hơn 100 CNA (CVE Numbering Authority). CNA bao gồm các nhà cung cấp IT, các tổ chức nghiên cứu như công ty bảo mật, trường đại học hoặc là chính MITRE.

Một CVE sẽ có dạng CVE-[Year]-[Number]. Với Year là năm mà lỗ hổng bảo mật này được báo cáo, Number chính là số được CNA chỉ định. Ví dụ: Một lỗ hổng bảo mật được định danh là CVE-2020-26084 nghĩa là nó được MITRE công bố trên cơ sở dữ liệu của họ vào năm 2020 với 26084 là mã số định danh.

Báo cáo CVE có thể đến từ bất cứ đâu. Một nhà nghiên cứu, một nhà cung cấp hay chỉ là một người dùng thông minh cũng có thể phát hiện ra lỗ hổng. Vì thế, nếu bạn phát hiện ra một lỗ hổng trong phần mềm nguồn mở, bạn nên gửi nó cho cộng đồng để được hỗ trợ.

Thông thường, CVE ID sẽ được chỉ định trước khi tư vấn bảo mật được công khai. Các nhà cung cấp sẽ giữ bí mật về lỗ hổng cho tới khi thử nghiệm và phát triển xong bản sửa lỗi. Điều này giúp giảm tối thiểu cơ hội cho những kẻ tấn công, khai thác các lỗ hổng chưa được sửa chữa.

Sau khi công khai, các mục CVE bao gồm CVE ID mô tả tóm tắt về lỗ hổng bảo mật, các tham chiếu hoặc khả năng hiển thị.

Ưu điểm của CVE 

Với mục đích là giúp người dùng chia sẻ thông tin chi tiết về các lỗ hổng bảo mật cho tất cả các chuyên gia an ninh mạng, chính vì thế CVE mang lại cho người dùng rất nhiều ưu điểm, cụ thể như sau:

• CVE giúp các tổ chức có thể thiết lập baseline nhằm đánh giá độ phù hợp của các công cụ bảo mật mà họ có. CVE Number cho phép những thành phần có trong công cụ được tổ chức và đưa ra đánh giá mức độ phù hợp đối với các doanh nghiệp.
• Đối với một lỗ hổng cụ thể, CVE ID sẽ giúp tổ chức có thể nhận thông tin chính xác về lỗ hổng đó từ nhiều nguồn tin khác nhau một cách nhanh chóng. Từ đó thay đổi kế hoạch để ưu tiên xử lý lỗ hổng, bảo vệ tổ chức của mình.

Có thể thấy đây là công cụ rất hữu ích trong quá trình tìm kiếm và đánh giá lỗ hổng bảo mật cho người dùng.

CVE hoạt động như thế nào?

Chương trình CVE được giám sát bởi tập đoàn MITER cùng với sự tài trợ của Cơ sở hạ tầng (CISA)- một bộ phận thuộc Bộ An ninh Nội địa Mỹ và Cơ quan an ninh mạng. Quá trình hoạt động của CVE diễn ra như sau:

• Các lỗi bảo mật máy tính được liệt kê trên CVE rất ngắn gọn bởi chúng không chứa dữ liệu kỹ thuật hoặc thông tin về rủi ro, tác động và cách khắc phục.
• Các chi tiết trong danh sách CVE có trong cơ sở dữ liệu khác cơ sở dữ liệu bảo mật quốc gia Hoa Kỳ, cơ sở dữ liệu ghi chú lỗ hổng bảo mật CERT/CC và các danh sách khác nhau được duy trì bởi các nhà cung cấp và tổ chức.
• Trên các hệ thống khác nhau này, CVE ID đưa cho người dùng một phương pháp tin cậy để nhận ra các lỗ hổng bảo mật duy nhất, từ đó phối hợp phát triển công cụ và giải pháp bảo mật.

Công ty MITER duy trì danh sách CVE, tuy nhiên một lỗ hổng bảo mật trở thành mục CVE thường được đệ trình bởi các tổ chức và thành viên của cộng đồng nguồn mở.

Là một nền tảng mà người dùng có thể tìm kiếm thông tin lỗ hổng ở đó, CVE đã giúp các tổ chức nhanh chóng phát hiện lỗ hổng, từ đó đưa ra biện pháp để giải quyết cũng như bảo vệ tổ chức của mình. Với những ưu điểm đó, CVE xứng đáng là một nền tảng hữu ích phục vụ cho cộng đồng. Mong rằng, với thông tin Bizfly Cloud cung cấp, bạn sẽ có thêm những thông tin cần thiết về CVE và những ưu điểm của nó mang lại.

>>> Xem thêm: Tấn công khuếch đại NTP sử dụng CVE-2013-5211