In onze vorige blog – Patch Tuesday: oktober 2020 – hebben we kort gesproken over Common Vulnerabilities and Exposures (CVE) en hoe softwarekwetsbaarheden worden gecatalogiseerd in de National Vulnerability Database (NVD). In deze blog gaan we wat dieper in op hoe de NVD tot stand is gekomen en hoe deze security helpt bij het evalueren en verbeteren van security van hun organisatie.
Wat is de Nationale Databank van Kwetsbaarheden (NVD) en wie onderhoudt deze?
De National Vulnerability Database (NVD) is een uitgebreide database met gemelde bekende kwetsbaarheden waaraan CVE's zijn toegewezen. Deze database wordt beheerd door het National Institute of Standards and Technology (NIST) en gesponsord door het National Cybersecurity and Communications Integration Center SecurityDepartment of Homeland Securityen door Network Security .
Wanneer werd de NVD opgericht?
De NVD werd oorspronkelijk opgericht in 2000 en heette aanvankelijk de Internet - Categorization of Attacks Toolkit of ICAT. Daarna ontwikkelde het zich tot de opslagplaats van kwetsbaarheden die het nu is.
Wat biedt de NVD?
De NVD biedt analyses van CVE's – de catalogus van bekende security – en doet het volgende:
- Kent een CVSS-score (Common Vulnerability Scoring System) toe aan elke kwetsbaarheid
- Bepaalt de soorten kwetsbaarheden - Common Weakness Enumerations (CWE)
- Definieert toepasbaarheidsverklaringen - Common Platform Enumeration (CPE)
- Biedt diverse andere informatie die relevant is voor de functionaliteit en uitbuitbaarheid van de kwetsbaarheid - d.w.z. hoe een uitbuiting kan worden uitgevoerd door cybercriminelen.
Deze informatie kan door organisaties worden gebruikt om prioriteit te geven aan de kwetsbaarheden en de patches die ze moeten implementeren om hun IT-infrastructuur veilig te houden.
Welke scoringsinformatie wordt er gegeven voor elke kwetsbaarheid?
Het Common Vulnerability Scoring System (CVSS) is een open verzameling standaarden die worden gebruikt om een kwetsbaarheid te beoordelen en een ernst toe te kennen op een schaal van 0 tot 10. De NVD biedt CVSS 'basisscores' die de aangeboren kenmerken van elke kwetsbaarheid weergeven. De ernstscores volgens de CVSS v3.0 specificaties zijn:
| Ernst | Basisscore |
|---|---|
| Geen | 0.0 |
| Laag | 0.1 - 3.9 |
| Medium | 4.0 - 6.9 |
| Hoog | 7.0 - 8.9 |
| Kritisch | 9.0 - 10.0 |
Algemene kwetsbaarheden en blootstellingen (CVE)
Common Vulnerabilities and Exposures (CVE) is een standaardrapportageconventie voor algemeen bekende security . CVE is in 1999 gelanceerd door MITRE, een door de overheid gefinancierde onderzoeksorganisatie, en catalogiseert security .
CVE is meer dan alleen een database: het stelt organisaties in staat om een basisnorm vast te stellen voor de dekking security hun security . Het stelt hen in staat om gegevens tussen kwetsbaarheden en hun security en het gebruik daarvan met elkaar in verband te brengen.
Wat is het doel van CVE?
Het belangrijkste doel van CVE is om de manier waarop een security of risico wordt geïdentificeerd te standaardiseren – met een identificatienummer, een beschrijving en ten minste één openbare referentie. CVE is gratis te gebruiken en openbaar toegankelijk. Een voorbeeld van een CVE-ID is CVE-2020-16891, dat bestaat uit het voorvoegsel CVE, het jaar waarin de CVE-ID is toegekend of het jaar waarin het beveiligingslek openbaar is gemaakt, en een volgnummer.
De CVE-beschrijving bevat details zoals de naam van het getroffen product en de leverancier, een overzicht van de getroffen versies, het type kwetsbaarheid, de impact, de toegang die een aanvaller nodig heeft om de kwetsbaarheid te misbruiken en de belangrijke codecomponenten of inputs die erbij betrokken zijn.
De CVE-referentie bevat de rapporten over de kwetsbaarheid, adviezen of bronnen waarin de kwetsbaarheid en de mogelijke uitbuiting worden beschreven.
Wat is het verschil tussen NVD en CVE?
Hoewel deze twee lijsten/databases vaak door elkaar worden gebruikt, zijn het in feite afzonderlijke, maar onderling verbonden entiteiten. CVE is in wezen een lijst met kwetsbaarheden en NVD is een robuustere database die is gebaseerd op en volledig gesynchroniseerd is met de CVE-lijst, zodat alle updates die in de CVE-lijst worden aangebracht, ook in de NVD verschijnen. De NVD voegt ook de analysecomponent voor elke kwetsbaarheid toe, zoals hierboven beschreven. Volgens MITRE voedt de CVE-lijst de NVD. Het Amerikaanse Ministerie van Binnenlandse Security, Cybersecurity and Infrastructure Security (DHS CISA) sponsort beide.
Hoeveel kwetsbaarheden worden er elk jaar gerapporteerd?
Het landschap van cyberbedreigingen breidt zich uit met de evolutie van de technologie en het aantal softwarekwetsbaarheden dat wordt gemeld, neemt elk jaar toe. Terwijl er in 2016 bijvoorbeeld 6.447 kwetsbaarheden werden geïdentificeerd, is dit aantal in 2019 ruwweg verdubbeld tot 12.174.
Cyberaanvallen kunnen worden georkestreerd met behulp van de informatie uit de CVE- en NVD-database. Het is dus belangrijk om de kwetsbaarheden in uw systemen tijdig te patchen om uw IT-systemen en gegevens veilig te houden. Aan de hand van de ernst van de kwetsbaarheid kunt u beslissen hoe u prioriteit geeft aan het implementeren van patches in uw omgeving.
Kaseya VSA automatiseert het beheer van softwarepatches om kwetsbaarheden in software te verhelpen en software up-to-date te houden. Met Kaseya VSA kunt u kwetsbaarheden monitoren en de patchstatus van uw volledige IT-omgeving bekijken in één enkele console.
Vraag een gratis proefversie of demo aan voor meer informatie over patchbeheer met Kaseya VSA.
