Koncepcja rejestrowania i publikowania informacji o podatnościach odkrytych w programach oraz systemach komputerowych sięga końca lat 90. 8 stycznia 1999 roku David E. Mann i Steven M. Christey ze znanej w środowisku związanym z cyberbezpieczeństwem firmy The MITRE Corporation opublikowali artykuł „Towards a Common Enumeration of Vulnerabilities”. Stał się on inspiracją do dalszych działań, które doprowadziły do stworzenia pierwszej listy CVE obejmującej 321 podatności.

 

CVE (ang. Common Vulnerabilities and Exposures) to system katalogowania podatności w sprzęcie i oprogramowaniu oraz standard ich nazewnictwa. Umożliwia jednoznaczną identyfikację poznanych luk i związanych z nimi zagrożeń w systemach informatycznych. Program ma charakter międzynarodowy i prowadzi go The MIRTE Corporation przy wsparciu finansowym Biura Cyberbezpieczeństwa i Komunikacji Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych.

 

Większość specjalistów ds. cyberbezpieczeństwa wie, co to jest CVE i że dzięki temu systemowi są w stanie identyfikować, śledzić i zarządzać podatnościami, zanim hakerzy opracują sposoby wykorzystania odkrytych luk. Dane z CVE są wykorzystywane także przez specjalistyczne narzędzia, takie jak skanery podatności czy automatyczne systemy do zarządzania aktualizacjami. Dodatkowo dzięki standaryzacji wymiana informacji między różnymi zespołami ds. cyberbezpieczeństwa jest prostsza.

 

Oprócz CVE funkcjonują także inne repozytoria np. National Vulnerability Database (NVD) czy Open Vulnerability and Assessment Language (OVAL).

   

Na dzień 13 września 2024 roku w bazie programu CVE znajdowało się 240 830 zapisów. Liczba ta stale rośnie i można ją znaleźć na głównej stronie projektu. Odkrytą podatność może zgłosić dosłownie każdy użytkownik, programista czy specjalista ds. cyberbezpieczeństwa. Po zgłoszeniu podatności otrzymuje ona swój unikalny identyfikator, podlega weryfikacji i zostaje opublikowana na ogólnodostępnej liście. Do najbardziej znanych firm, które mogą przeprowadzić taką weryfikację, można zaliczyć Microsoft, Intel czy Google. Łącznie funkcjonuje ponad 400 takich podmiotów z 40 krajów.

 

Za koordynację powyższych działań odpowiada firma MITRE Corporation, która współpracuje z przedsiębiorstwami technologicznymi, instytutami badawczymi i organizacjami zajmującymi się cyberbezpieczeństwem.

   

W 2023 roku opublikowano 28 961 wpisów w systemie CVE. Każdy z nich zawiera dane opisowe jednej luki, a także jej unikalny identyfikator. Może też prezentować informacje o wadze danej podatności oraz odniesienia, np. do otwartej bazy CWE (ang. Common Weakness Enumeration) czyli do opracowanej przez społeczność listy powszechnych luk w zabezpieczeniach oprogramowania, które stały się standardowym sposobem opisywania i kategoryzacji słabości mogących prowadzić do powstania luk w zabezpieczeniach.

 

Identyfikator CVE

 

CVE ID to ciąg alfanumeryczny, który pozwala zidentyfikować skatalogowaną podatność. Ma on ściśle określoną budowę. Wszystkie elementy oddzielone są znakiem „-”.

 

Budowa CVE ID składa się z:

 

• przedrostka CVE,


• roku wykrycia podatności,


• numeru podatności.

 

Do 2014 roku identyfikatory składały się z 4 cyfr, co pozwalało zarejestrować maksymalnie 9999 luk w ciągu roku. Obecnie cyfr może być więcej – przykładowo już w 2016 roku było zarezerwowanych 14 472 identyfikatorów.

 

Przykładowe ID CVE:

 

• CVE-2017-0144 – podatność wykorzystana przy ataku WannaCry.


• CVE-2018-8174 – luka typu zero-day w przeglądarce Internet Explorer, która mogła prowadzić nawet do całkowitego przejęcia systemu.


• CVE-2021-44228 – podatność dotycząca biblioteki Log4j, znana jako Log4Shell.

 

Opis podatności

 

Każda luka posiada krótki opis tekstowy, który zwykle zawiera informacje o przyczynie podatności, lokalizacji w systemie oraz potencjalnym wpływie na bezpieczeństwo. W opisie nie znajdują się żadne informacje techniczne, a jedynie pobieżne zarysowanie problemu. Więcej danych można znaleźć w odniesieniach, np. do dokumentacji technicznej.

 

Ocena ryzyka (CVSS)

 

Znaczna część rekordów w bazie CVE posiada ocenę CVSS. Jest to standard pozwalający na przypisanie danej luce wartości od 0 do 10, która odpowiada wadze zagrożenia. Warto pamiętać, że waga nie jest równoznaczna z ryzykiem, które zależy od wielu innych czynników.

 

Sposób wyliczania CVSS jest dość skomplikowany i obejmuje takie kwestie, jak poziom trudności wykorzystania luki, jej wpływ na system czy dostępność poprawek.

   

Wspomniany CVSS to system pozwalający na ocenę wagi podatności, który opiera się na konkretnych matrycach oceny. Wykorzystuje się go do nadawania priorytetów działaniom, które mają na celu poprawę cyberbezpieczeństwa. Podatność z niską wagą można naprawić w dalszej kolejności, natomiast podatności o najwyższej wadze trzeba potraktować priorytetowo.

 

Wagi podatności określane w ramach systemu CVSS występują na trzech poziomach:

 

• środowiskowym – dotyczy cech podatności charakterystycznych dla konkretnych środowisk,


• czasowym – określa cechy podatności, które zmieniają się w czasie,


• bazowym – ocenia cechy podatności, które istnieją w różnych środowiskach i nie zmieniają się w czasie.

 

Od listopada 2023 roku funkcjonuje standard CVSS 4.0. Ta aktualizacja wprowadziła nowe kombinacje poziomów oceny i dodatkowe metryki, przez co system stał się bardziej skomplikowany i zarazem bardziej szczegółowy

.

CVE natomiast jest listą publicznie znanych podatności. CVSS jest jednym z parametrów, które opisują luki znajdujące się w tym rejestrze. Obydwa systemy współgrają ze sobą, zapewniając specjalistom ds. zabezpieczeń szeroką, kompleksową wiedzę na temat odkrytych podatności.

 

 

Informacje z bazy CVE stanowią jeden z elementów wykorzystywanych podczas oceny i zarządzania podatnościami. Wiedza na temat odkrytych luk pozwala przygotować się do działania i ustalić priorytety. Dzięki temu, że baza jest cały czas aktualizowana, specjaliści ds. zabezpieczeń mogą dostosowywać obrane strategie i wyprzedzać działania cyberprzestępców.

 

Istotną częścią zarządzania ryzykiem jest wykonywanie testów podatności, które może przeprowadzić zespół doświadczonych specjalistów działających w ramach Security Operations Center Netii. Takie działanie pozwala wykryć słabe punkty systemu. Firmy powinny wykonywać testy podatności cyklicznie, ponieważ cały czas odkrywane są nowe luki w oprogramowaniu i systemach, a także sposoby ich wykorzystywania.

 

Dzięki usługom z zakresu cyberbezpieczeństwa od Netii firmy mogą stworzyć spójny, efektywny system, który będzie chronił ich infrastrukturę i zasoby IT, zarówno przed podatnościami, jak i innymi zagrożeniami. Przykładowo, wdrożenie Netia DDoS Protection zwiększa ochronę przed atakami wolumetrycznymi i zapewnia ciągłość działania kluczowych aplikacji, podczas gdy ochrona poczty elektronicznej i usługa Netia Data Protection pozwalają zabezpieczyć komunikację elektroniczną i gromadzone dane.