Mục lục bài viết || Contents of the article

    CVE là thuật ngữ quen thuộc khi nhắc đến lỗ hổng bảo mật. Mặc dù khá “quen mặt” nhưng doanh nghiệp đã thực sự hiểu rõ về CVE hay chưa? Mục đích của CVE là gì? Mã định danh CVE có ý nghĩa ra sao? Lỗ hổng như thế nào thì được xác định là CVE?… Những thắc mắc này sẽ được SecurityBox giải đáp trong bài viết dưới đây.

    1. CVE là gì?

    CVE (Common Vulnerabilities and Exposures) là một danh sách các lỗ hổng và rủi ro bảo mật đã được tiết lộ công khai. Chương trình này được MITRE khởi tạo vào năm 1999 nhằm xác định và phân loại các lỗ hổng thường gặp. 

    Mỗi lỗ hổng sẽ có một bản mô tả thông tin chi tiết. Các chuyên gia an ninh mạng sẽ sử dụng bản mô tả này để cùng nhau thảo luận và đưa ra hướng khắc phục lỗ hổng triệt để. 

    2. Mục đích của CVE

    Mục đích của CVE là chia sẻ thông tin về các lỗ hổng bảo mật giữa các tổ chức một cách dễ dàng hơn. CVE cho phép các chuyên gia an ninh mạng truy cập nhiều nguồn thông tin về các mối đe dọa bảo mật mà chỉ cần sử dụng ID (mã định danh) của chúng.

    3. Tổng quan về CVE ID (mã định danh CVE)

    Mỗi lỗ hổng bảo mật sẽ được gắn với một CVE ID (CVE Identifier), có định dạng: CVE-[Year]-[Number]. Trong đó, [Year] là năm mà lỗ hổng này được báo cáo, [Number] là một dãy số được chỉ định bởi CNAs. 

    cve

    CVE ID khá ngắn gọn, không nêu ra rủi ro, mức độ ảnh hưởng hay thông tin kỹ thuật khác. Tuy nhiên, CVE ID có cung cấp đường dẫn đến các cơ sở dữ liệu có đầy đủ thông tin về lỗ hổng để người dùng có thể tham khảo. 

    CNA là gì?

    CNAs (CVE Numbering Authorities) là các tổ chức trên thế giới được phép chỉ định CVE ID cho các lỗ hổng bảo mật. Các tổ chức này bao gồm các nhà cung cấp phần mềm, các tổ chức nghiên cứu, các công ty bảo mật hoặc là chính MITRE. Hiện tại, có 104 CNAs ở 18 quốc gia khác nhau. Có thể kể đến những tổ chức lớn như Microsoft, Adobe, Apple, Cisco, Google, Hewlett Packard Enterprise, Huawei, IBM, Intel, Mozilla, Oracle, Red Hat, Siemens, Symantec, VMWare, Atlassian, Autodesk, Cloudflare, Elastic, GitHub, Kubernetes, Netflix, Salesforce… Doanh nghiệp có thể xem danh sách đầy đủ tại đây.

    4. Lỗ hổng như thế nào thì được xác định là CVE?

    Dưới đây là ba yếu tố để xác định một lỗ hổng là CVE:

    • Lỗ hổng có tác động tiêu cực đến tình trạng an ninh. Lỗ hổng này phải được nhà cung cấp thừa nhận là có ảnh hưởng tiêu cực đến hiện trạng bảo mật của các đơn vị đang sử dụng sản phẩm/ dịch vụ của họ. Hoặc những tác động tiêu cực của lỗ hổng này lên hệ thống bị ảnh hưởng phải được ghi nhận bằng văn bản. 
    • Lỗ hổng có thể được khắc phục độc lập. Việc khắc phục lỗ hổng này có thể được thực hiện độc lập mà không gây ảnh hưởng đến hệ thống mạng chung. 
    • Lỗ hổng chỉ tác động lên một codebase. Nếu lỗ hổng tác động lên nhiều codebase khác nhau thì chúng cần được phân loại thành các CVE ID khác nhau. 

    5. Giải đáp một số thắc mắc về CVE

    5.1. Có phải bất kỳ người dùng nào cũng có thể truy cập dữ liệu CVE?

    CVE là dữ liệu miễn phí và người dùng có thể truy cập công khai. Bất kỳ người dùng nào cũng có thể tìm kiếm, tải xuống, sao chép, tham khảo và phân tích CVE, miễn là họ không sửa đổi bất cứ thông tin nào. 

    5.2. CVE có phải là cơ sở dữ liệu lỗ hổng hay không?

    CVE không phải là cơ sở dữ liệu về lỗ hổng bảo mật. CVE được thiết kế để liên kết các cơ sở dữ liệu về lỗ hổng bảo mật và các công cụ khác với nhau. 

    5.3. Tin tặc có thể sử dụng CVE để tấn công tổ chức/ doanh nghiệp của tôi không?

    Câu trả lời là có thể. Tuy nhiên, các chuyên gia an ninh mạng tin rằng lợi ích mà CVE mang lại lớn hơn rủi ro rất nhiều. Nếu cập nhật liên tục về các CVE mới, doanh nghiệp có thể khắc phục lỗ hổng kịp thời và ngăn chặn các cuộc tấn công mạng có thể xảy ra. 

    Một ví dụ cụ thể, nhiều chuyên gia an ninh mạng tin rằng, ransomware WannaCry, lây lan qua lỗ hổng EternalBlue, sẽ ít ảnh hưởng hơn nếu lỗ hổng này được chia sẻ công khai.

    5.4. CVSS là gì?

    Điểm CVSS càng cao thì mức độ nghiêm trọng càng lớn. 

    CVSS (The Common Vulnerability Scoring System) là tập hợp các tiêu chuẩn mở để qua đó, đánh giá mức độ nghiêm trọng của một lỗ hổng. Điểm CVSS nằm trong khoảng từ 0,0 đến 10,0. Điểm CVSS càng cao thì mức độ nghiêm trọng càng lớn. 

    6. Giải pháp ngăn chặn lỗ hổng CVE từ SecurityBox

    Để ngăn chặn rủi ro từ lỗ hổng CVE, doanh nghiệp cần một giải pháp hỗ trợ rà quét và phát hiện ra lỗ hổng đó trước khi chúng bị tin tặc khai thác. Giải pháp Quản trị Nguy cơ An ninh mạng nội bộ SecurityBox 4Network là sự lựa chọn đáng cân nhắc. Với cơ chế kiểm tra và giám sát 24/7, giải pháp SecurityBox 4Network sẽ giúp doanh nghiệp tìm ra các lỗ hổng CVE đang tồn tại trên hệ thống mạng. Từ đó, đưa ra phương án khắc phục triệt để. Với giải pháp SecurityBox 4Network, doanh nghiệp sẽ không phải đối mặt với các mối đe dọa từ lỗ hổng trên chính hệ thống mạng của mình. 

    Nếu doanh nghiệp cần tìm hiểu thêm về giải pháp SecurityBox 4Network, hãy đăng ký để nhận tư vấn miễn phí.

    Tham khảo: Upguard 

    Bài viết đề xuất || Recommended
    Trong bối cảnh các vụ tấn công mạng diễn ra dồn dập, doanh nghiệp cần phải cảnh giác và đầu tư hơn nữa vào hệ thống phòng thủ của mình. Tuy nhiên, dù...
    Kiến thức | 18/09/2021
    Nhà cung cấp giải pháp an ninh mạng Fortinet đã xác nhận, một tin tặc đã tiết lộ tên và mật khẩu đăng nhập VPN của 87.000 thiết bị FortiGate SSL-VPN. 1....
    Microsoft vừa cảnh báo về việc tin tặc đang khai thác lỗ hổng zero-day trong Windows bằng cách phát tán các tài liệu Office độc hại.  1. Thông tin lỗ hổng...