CVE là gì? Tìm hiểu những thông tin chi tiết về CVE

1360
09-05-2022
CVE là gì? Tìm hiểu những thông tin chi tiết về CVE

Đánh giá lỗ hổng bảo mật là một quá trình tìm kiếm, kiểm tra, nhận diện lỗi cũng như các phương pháp an toàn của ứng dụng và hệ thống. Với mục đích hỗ trợ quá trình trên, CVE đã ra đời giúp các chuyên gia công nghệ dễ dàng phân loại và xử lý lỗ hổng. 

Vậy CVE là gì? Ưu điểm mà nó mang lại là gì? Bài viết này Bizfly Cloudsẽ mang đến cho bạn đọc những thông tin cơ bản nhất về nó.

CVE là gì?

CVE, viết tắt của Common Vulnerabilities and Exposures, là một danh sách các lỗi bảo mật máy tính công khai. Nhắc tới CVE, tức là đang nhắc đến một lỗ hổng bảo mật đã được gán một số CVE ID.

Các thông báo bảo mật của các nhà cung cấp dịch vụ sẽ thường đi kèm ít nhất một CVE ID. Nó cung cấp các điểm tham chiếu nền tảng để đánh giá lỗ hổng bảo mật, dịch vụ cũng như công cụ phù hợp với các doanh nghiệp,người dùng. CVE hỗ trợ các chuyên gia IT có thể phân loại các lỗ hổng để ưu tiên xử lý nhằm an toàn hóa hệ thống máy tính.

Hiện nay, CVE được giám sát, duy trì và công bố bởi tập đoàn The MITRE- tổ chức lưu trữ danh sách lỗ hổng bảo mật uy tín nhất thế giới.

CVE là một danh sách các lỗi bảo mật máy tính công khai

CVE là một danh sách các lỗi bảo mật máy tính công khai

Xác định CVE khi bị lỗ hổng bảo mật

Một lỗ hổng được đưa vào danh sách CVE khi chúng có ít nhất một trong các biểu hiện như:

  • Lỗ hổng bảo mật phải tác động tiêu cực đến an ninh mạng: Các CVE ID sẽ được chỉ định cho các lỗ hổng theo một tiêu chí nhất định. Các lỗi này phải được giải quyết với các lỗi phần mềm hoặc hệ thống trong chương trình máy tính một cách độc lập, và chỉ được xem là tiêu cực khi được các tổ chức doanh nghiệp xác nhận có ảnh hưởng lớn tới hệ thống an ninh và được ghi lại trong văn bản chính thức.
  • Lỗ hổng bảo mật tác động lên codebase: Một lỗ hổng bảo mật gây ra chỉ gây ra và ảnh hướng đến một codebase duy nhất. Vì vậy, sẽ có mã định danh CVE khác nhau nếu tác động nhiều codebase.
  • Lỗ hổng bảo mật có thể khắc phục một cách độc lập: Những lỗ hổng có tác động đến các sản phẩm khác nhau sẽ có CVE riêng biệt và hệ thống chung sẽ không bị ảnh hưởng.
Các CVE ID sẽ được chỉ định cho các lỗ hổng theo một tiêu chí nhất định

Các CVE ID sẽ được chỉ định cho các lỗ hổng theo một tiêu chí nhất định

Hiểu hơn về CVE Identifier

Mỗi một CVE sẽ được gán với một con số cụ thể, được gọi là CVE Identifier (Mã định danh CVE). Nó được chỉ định bởi 1 trong hơn 100 CNA (CVE Numbering Authority). CNA bao gồm các nhà cung cấp IT, các tổ chức nghiên cứu như công ty bảo mật, trường đại học hoặc là chính MITRE.

Một CVE sẽ có dạng CVE-[Year]-[Number]. Với Year là năm mà lỗ hổng bảo mật này được báo cáo, Number chính là số được CNA chỉ định. Ví dụ: Một lỗ hổng bảo mật được định danh là CVE-2020-26084 nghĩa là nó được MITRE công bố trên cơ sở dữ liệu của họ vào năm 2020 với 26084 là mã số định danh.

Báo cáo CVE có thể đến từ bất cứ đâu. Một nhà nghiên cứu, một nhà cung cấp hay chỉ là một người dùng thông minh cũng có thể phát hiện ra lỗ hổng. Vì thế, nếu bạn phát hiện ra một lỗ hổng trong phần mềm nguồn mở, bạn nên gửi nó cho cộng đồng để được hỗ trợ.

Thông thường, CVE ID sẽ được chỉ định trước khi tư vấn bảo mật được công khai. Các nhà cung cấp sẽ giữ bí mật về lỗ hổng cho tới khi thử nghiệm và phát triển xong bản sửa lỗi. Điều này giúp giảm tối thiểu cơ hội cho những kẻ tấn công, khai thác các lỗ hổng chưa được sửa chữa.

Sau khi công khai, các mục CVE bao gồm CVE ID mô tả tóm tắt về lỗ hổng bảo mật, các tham chiếu hoặc khả năng hiển thị.

CVE ID sẽ được chỉ định trước khi tư vấn bảo mật được công khai

CVE ID sẽ được chỉ định trước khi tư vấn bảo mật được công khai

Ưu điểm của CVE 

Với mục đích là giúp người dùng chia sẻ thông tin chi tiết về các lỗ hổng bảo mật cho tất cả các chuyên gia an ninh mạng, chính vì thế CVE mang lại cho người dùng rất nhiều ưu điểm, cụ thể như sau:

  • CVE giúp các tổ chức có thể thiết lập baseline nhằm đánh giá độ phù hợp của các công cụ bảo mật mà họ có. CVE Number cho phép những thành phần có trong công cụ được tổ chức và đưa ra đánh giá mức độ phù hợp đối với các doanh nghiệp.
  • Đối với một lỗ hổng cụ thể, CVE ID sẽ giúp tổ chức có thể nhận thông tin chính xác về lỗ hổng đó từ nhiều nguồn tin khác nhau một cách nhanh chóng. Từ đó thay đổi kế hoạch để ưu tiên xử lý lỗ hổng, bảo vệ tổ chức của mình.

Có thể thấy đây là công cụ rất hữu ích trong quá trình tìm kiếm và đánh giá lỗ hổng bảo mật cho người dùng.

CVE có thể thiết lập baseline nhằm đánh giá độ phù hợp của các công cụ bảo mật mà họ có

CVE có thể thiết lập baseline nhằm đánh giá độ phù hợp của các công cụ bảo mật mà họ có

CVE hoạt động như thế nào?

Chương trình CVE được giám sát bởi tập đoàn MITER cùng với sự tài trợ của Cơ sở hạ tầng (CISA)- một bộ phận thuộc Bộ An ninh Nội địa Mỹ và Cơ quan an ninh mạng. Quá trình hoạt động của CVE diễn ra như sau:

  • Các lỗi bảo mật máy tính được liệt kê trên CVE rất ngắn gọn bởi chúng không chứa dữ liệu kỹ thuật hoặc thông tin về rủi ro, tác động và cách khắc phục.
  • Các chi tiết trong danh sách CVE có trong cơ sở dữ liệu khác cơ sở dữ liệu bảo mật quốc gia Hoa Kỳ, cơ sở dữ liệu ghi chú lỗ hổng bảo mật CERT/CC và các danh sách khác nhau được duy trì bởi các nhà cung cấp và tổ chức.
  • Trên các hệ thống khác nhau này, CVE ID đưa cho người dùng một phương pháp tin cậy để nhận ra các lỗ hổng bảo mật duy nhất, từ đó phối hợp phát triển công cụ và giải pháp bảo mật.

Công ty MITER duy trì danh sách CVE, tuy nhiên một lỗ hổng bảo mật trở thành mục CVE thường được đệ trình bởi các tổ chức và thành viên của cộng đồng nguồn mở.

Là một nền tảng mà người dùng có thể tìm kiếm thông tin lỗ hổng ở đó, CVE đã giúp các tổ chức nhanh chóng phát hiện lỗ hổng, từ đó đưa ra biện pháp để giải quyết cũng như bảo vệ tổ chức của mình. Với những ưu điểm đó, CVE xứng đáng là một nền tảng hữu ích phục vụ cho cộng đồng. Mong rằng, với thông tin Bizfly Cloud cung cấp, bạn sẽ có thêm những thông tin cần thiết về CVE và những ưu điểm của nó mang lại.

>>> Xem thêm: Tấn công khuếch đại NTP sử dụng CVE-2013-5211

BizFly Cloud là nhà cung cấp dịch vụ điện toán đám mây với chi phí thấp, được vận hành bởi VCCorp.

BizFly Cloud là một trong 4 doanh nghiệp nòng cốt trong "Chiến dịch thúc đẩy chuyển đổi số bằng công nghệ điện toán đám mây Việt Nam" của Bộ TT&TT; đáp ứng đầy đủ toàn bộ tiêu chí, chỉ tiêu kỹ thuật của nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Độc giả quan tâm đến các giải pháp của BizFly Cloud có thể truy cập tại đây.

DÙNG THỬ MIỄN PHÍ và NHẬN ƯU ĐÃI 3 THÁNG tại: Manage.bizflycloud

TAGS: CVE
SHARE