CVE (Common Vulnerabilities and Exposures, Общие уязвимости и риски) — это универсальный, стандартизированный каталог публично раскрытых киберуязвимостей информационных систем, управляемый организацией MITRE при спонсорской поддержке CISA (Агентства кибербезопасности и инфраструктуры США) и международных партнеров. Каждой зарегистрированной уязвимости присваивается уникальный идентификатор (CVE ID, например, CVE-2021-44228), краткое описание и ссылки на публичные отчеты, что позволяет однозначно идентифицировать и обсуждать конкретную проблему безопасности в глобальном масштабе.
Возможности и структура каталога CVE:
- Уникальная идентификация: Каждая уязвимость получает идентификатор формата
CVE-ГГОД-НОМЕР. Это устраняет путаницу, когда одна и та же уязвимость известна под разными именами у разных вендоров. - Стандартизированная запись: Каждая запись CVE содержит:
- Идентификатор CVE.
- Краткое описание уязвимости на английском языке.
- Ссылки на дополнительные ресурсы: отчеты вендоров, консультативные бюллетени, технические детали, эксплойты.
- Даты: Дата публикации, дата последнего обновления.
- База для систем оценки рисков: Идентификаторы CVE являются основой для других критически важных стандартов в управлении уязвимостями:
- NVD (National Vulnerability Database): База данных Национального института стандартов и технологий США (NIST), которая обогащает записи CVE дополнительными данными: оценкой критичности по шкале CVSS (Common Vulnerability Scoring System), информацией о затронутых продуктах (CPE), типах уязвимостей (CWE) и средствах исправления.
- CVSS: Система количественной оценки серьезности уязвимости на основе таких характеристик, как возможность удаленной эксплуатации, требуемый уровень привилегий и потенциальное влияние.
- Каналы поступления информации: Уязвимости в каталог CVE добавляются через программу CNA (CVE Numbering Authorities) — сеть уполномоченных организаций (вендоры ПО, исследовательские компании, CERT-команды), которые имеют право присваивать идентификаторы CVE для продуктов в своей зоне ответственности.
CVE — это фундаментальная инфраструктура для всей экосистемы кибербезопасности. На нем строят свою работу сканеры уязвимостей, системы SIEM и SOAR (для корреляции событий с известными угрозами), платформы Threat Intelligence, а также процессы управления исправлениями (patch management) в организациях. Поиск по CVE является первым шагом для специалистов при оценке нового публичного отчета об уязвимости. Ключевое ограничение — CVE содержит только известные и опубликованные уязвимости, но не охватывает zero-day до их публичного раскрытия.
