Lỗ hổng Zero-day là gì? Thế nào là CVE?
Hãy cùng PSYS tìm hiểu về CVE
CVE (Common Vulnerabilities and Exposures) là viết tắt của Common Vulnerabilities and Exposures, đó là một danh sách các lỗ hổng bảo mật và các mở rộng của phần mềm và hệ thống máy tính. Chương trình này được MITRE khởi tạo vào năm 1999 nhằm xác định và phân loại các lỗ hổng thường gặp. Mỗi lỗ hổng sẽ có một bản mô tả thông tin chi tiết
Các yếu tố để hình thành một CVE bao gồm:
1. Lỗ hổng tác động tiêu cực đến tình trạng an ninh: Lỗ hổng này phải được nhà cung cấp thừa nhận là có tác động tiêu cực đến hiện trạng bảo mật của đơn vị đang sử dụng sản phẩm hay dịch vụ mà họ mang tới. Những ảnh hưởng tiêu cực của lỗ hổng này tác động lên hệ thống bị ảnh hưởng được ghi nhận bằng văn bản.
2. Lỗ hổng có thể để khắc phục độc lập: Quá trình khắc phục lỗ hổng này có thể được thực hiện một cách độc lập mà không gây ảnh hưởng hay tác động đến hệ thống mạng chung.
3. Lỗ hổng chỉ ảnh hưởng đến một Codebase: Nếu lỗ hổng có tác động lên nhiều Codebase khác nhau, chúng phải được phân loại thành các CVE IDriêng biệt. Mỗi CVE ID ánh xạ tới một lỗ hổng cụ thể.
CVE Identifier là mã số định danh của lỗ hổng bảo mật. Một mã định danh chỉ được gắn với một CVE nhất định. Những mã định danh CVE này được xác nhận bởi tổ cơ quan đánh số CNA (CNA là cơ quan bao gồm các nhà cung cấp trong lĩnh vực CNTT, tổ chức nghiên cứu, thậm chí là cá nhân). Cách thức biểu thị mã định danh CVE là CVE-[Năm]-[Số]. Ví dụ: CVE-2019-0708 ánh xạ tới lỗ hổng được phát hiện vào năm 2019 và được chỉ định bởi tổ chức CNA với mã số là 07082.
Quy trình báo cáo một lỗ hổng bảo mật (CVE) thường bao gồm các bước sau:
1. Phát hiện lỗ hổng: Đầu tiên, người phát hiện lỗ hổng (có thể là một nhà nghiên cứu bảo mật, một chuyên gia an ninh, hoặc người dùng cuối) phải xác định và kiểm tra lỗ hổng trong phần mềm, hệ thống, hoặc ứng dụng.
2. Xác định nguy cơ và tác động: Người phát hiện lỗ hổng phải đánh giá nguy cơ và tác động của lỗ hổng đối với hệ thống hoặc ứng dụng. Điều này bao gồm việc xác định khả năng tấn công, tiềm năng gây hại, và phạm vi ảnh hưởng.
3. Báo cáo lỗ hổng: Người phát hiện lỗ hổng nên báo cáo lỗ hổng cho nhà cung cấp phần mềm hoặc tổ chức quản lý hệ thống. Báo cáo này thường đi kèm với thông tin chi tiết về lỗ hổng, cách tái hiện, và các bước để khắc phục.
4. Xác minh và phân loại: Nhà cung cấp phần mềm hoặc tổ chức quản lý hệ thống xác minh lỗ hổng và phân loại nó. Một lỗ hổng được xác minh và phân loại sẽ được gán một CVE ID (Common Vulnerabilities and Exposures Identifier).
5. Phát hành bản vá: Nhà cung cấp phần mềm hoặc tổ chức quản lý hệ thống phải phát hành bản vá để khắc phục lỗ hổng. Bản vá này sẽ được cài đặt trên hệ thống hoặc ứng dụng bị ảnh hưởng.
6. Thông báo cho người dùng: Người dùng cuối và cộng đồng an ninh mạng sẽ được thông báo về lỗ hổng và cách khắc phục. Thông báo này thường bao gồm hướng dẫn cập nhật và bảo mật.
CVE giúp các chuyên gia bảo mật tìm ra giải pháp ngăn chặn sự tấn công từ những yếu tố độc hại, nâng cao bảo mật và loại bỏ chung các lỗ hổng có thể xảy ra.