Различия между оценками CVE и CVSS: определение и важность

Ключевые моменты

  • CVE против CVSS: CVE выявляет уязвимости; CVSS оценивает их серьезность по шкале от 0 до 10.
  • Основное применение: вместе они помогают ИТ-отделам оценивать риски и расставлять приоритеты при устранении неполадок.
  • Информация CVE: содержит описания, даты и иногда решения для известных уязвимостей.
  • Уровень CVSS: определяет серьезность проблемы для определения порядка ее устранения.
  • Ограничения: CVSS не содержит контекста и обновлений; CVE может не включать исправления и фокусироваться только на неисправленном программном обеспечении.
  • Почему это важно: Несмотря на недостатки, CVE и CVSS являются важнейшими инструментами для информированного и эффективного управления уязвимостями.

По мере приближения нового года организации могут ожидать значительного увеличения числа кибератак . Для борьбы с этими грядущими угрозами будут необходимы эффективные процессы исправления и управления исправлениями . Перед исправлением уязвимостей ИТ-отделам следует сосредоточиться на двух основных оценках уязвимостей: оценках CVE и CVSS. Ниже мы рассмотрим важность оценок CVE и CVSS, а также некоторые из их применений и преимуществ в сфере кибербезопасности.

Оценки CVE и CVSS

Что такое оценка CVE?

CVE означает Common Vulnerabilities or Exposers, и это публичный список уязвимостей кибербезопасности. Этот глоссарий организует эти уязвимости безопасности с идентификационными номерами, датами и описаниями.

Что такое оценка CVSS?

CVSS означает Common Vulnerability Scoring System (система оценки общих уязвимостей), и это числовая оценка, которая оценивает серьезность уязвимостей по шкале от 0 до 10, где 10 — самая серьезная. Она часто используется для оценки серьезности публично раскрытых уязвимостей, перечисленных в CVE.

Различия между оценками CVE и CVSS

Рейтинги CVE и CVSS являются оценками уязвимостей. Согласно Национальной базе данных уязвимостей , уязвимость — это «слабое место в вычислительной логике (например, коде), обнаруженное в программных и аппаратных компонентах, которое при эксплуатации оказывает негативное влияние на конфиденциальность, целостность или доступность». Перед исправлением уязвимости организации будут использовать рейтинги CVE и CVSS для сбора дополнительной информации об уязвимости и ее серьезности.

Где найти оценки CVE и CVSS

В настоящее время MITRE управляет базой данных CVE и тесно сотрудничает с Национальной базой данных уязвимостей (NVD), которая является частью Национального института стандартов и технологий (NIST). Чтобы найти оценки CVSS, компании полагаются на FIRST , некоммерческую организацию США.

Использование оценок CVE и CVSS

Сегодня ИТ-отделы полагаются на оценки CVE и CVSS, чтобы узнать больше о слабых сторонах безопасности, прежде чем разрабатывать стратегии их устранения. Некоторые распространенные применения оценок CVE и CVSS включают:

  • Количественная оценка серьезности уязвимостей

Оценки CVSS количественно определяют серьезность уязвимостей. ИТ-команда может использовать эту информацию, чтобы определить, какие уязвимости представляют наиболее серьезные угрозы, и устранить их в первую очередь, прежде чем переходить к более мелким слабостям.

Например, уязвимость с оценкой CVSS 8 представляет большую угрозу, чем уязвимость с оценкой 3. В этом случае ИТ-отдел может сначала устранить уязвимость с оценкой 8, а затем уже устранять менее серьезную уязвимость с оценкой 3.

  • Узнайте больше о каждой уязвимости

CVE предоставляет описания, даты и другую информацию об уязвимостях. Кроме того, CVE иногда перечисляет исправления или решения для конкретной уязвимости. Эта ценная информация позволяет ИТ-команде узнать больше об уязвимости, чтобы они могли предложить решение.

  • Поддержка усилий по управлению исправлениями

Оценки CVE и CVSS предоставляют руководство для ИТ-команды и дополнительную поддержку для усилий по управлению исправлениями. Эти оценки помогают ИТ-команде планировать, готовиться и устранять уязвимости до того, как они станут серьезными проблемами для организации.

Важность оценок CVE и CVSS

Несмотря на то, что оценки CVE и CVSS не идеальны, в настоящее время они являются одними из лучших оценок для использования в отношении уязвимостей. Они позволяют ИТ-отделам классифицировать, расставлять приоритеты и создавать порядок при работе с надоедливыми уязвимостями. Кроме того, ИТ-отделы могут полагаться на оценки CVE и CVSS вместе, чтобы получить больше информации о слабых местах безопасности и создать план по их устранению.

Ограничения оценок CVE и CVSS

Хотя некоторые организации утверждают, что оценки CVE и CVSS чрезмерно используются и переоценены в сфере кибербезопасности, в настоящее время они являются лучшими оценками, доступными для уязвимостей. При этом у них есть определенные ограничения, как показано ниже:

Ограничения оценки CVSS

  • Неточно измеряет риск

К сожалению, оценки CVSS, присвоенные уязвимостям, не всегда точно измеряют риск. Например, уязвимости с оценкой 7.0 и выше считаются наиболее серьезными угрозами, которые следует устранить в первую очередь. Однако являются ли угрозы с оценкой 6.5 менее опасными, чем угрозы с оценкой 7.0? Иногда уязвимость с оценкой 6.5 в конечном итоге вызывает больше проблем, чем уязвимость с оценкой 7.0.

  • Остается неизменным и необновленным

После того, как уязвимости присвоена оценка CVSS, она обычно никогда не изменяется и не обновляется. Эта статическая оценка не учитывает никаких изменений или новой информации.

  • Не учитывает необходимый контекст

Поскольку оценка CVSS — это просто число, она не предоставляет никакого контекста или дополнительной информации об уязвимости. Из-за этого сложно определить, как уязвимость на самом деле повлияет на систему безопасности.

Ограничения оценки CVE

  • Отсутствует важная информация

Хотя CVE действительно предоставляет некоторую информацию об уязвимости, она не дает достаточно информации для команды ИТ-безопасности, чтобы использовать ее для исправления проблемы. Kenna Security объясняет эту проблему, заявляя: «Записи CVE, например, обычно не содержат ключевой информации, такой как коды эксплойтов, исправления, популярные цели, известные вредоносные программы, сведения об удаленном выполнении кода и т. д. Чтобы найти их, сотрудники службы безопасности должны провести дополнительную проверку. (Записи CVE часто ссылаются на сайты поставщиков и другие ресурсы, а они, в свою очередь, могут включать ссылки на исправления и советы по исправлению. Но это ручной процесс поиска и проверки, который может быть непосильным для команд безопасности, сталкивающихся со списком из сотен, даже тысяч так называемых критических уязвимостей.)»

  • Игнорирует угрозы для исправленного программного обеспечения

CVE фокусируется только на уязвимостях в неисправленном программном обеспечении, игнорируя риски или угрозы, которым подвергается исправленное программное обеспечение. Тот факт, что программное обеспечение исправлено, не означает, что оно полностью защищено от уязвимостей и угроз.

  • Не всегда предоставляет решение

Хотя распространено мнение, что CVE предлагает исправления для уязвимостей, это не всегда так. CVE иногда предоставляет решения или исправления для уязвимостей, но не в 100% случаев.