CVE staat voor Common Vulnerabilities and Exposures en is een lijst met kwetsbaarheden en blootstellingen. Het doel van deze lijst is om gemakkelijk informatie over bekende kwetsbaarheden te delen zodat bedrijven die de software in kwestie gebruiken zich tegen aanvallen kunnen beschermen.
Wanneer een producent een kwetsbaarheid vindt in zijn software of hardware kan hij deze vrijwillig laten opnemen in de CVE-database. Zodra de kwetsbaarheid wordt gemeld krijgt de melding een CVE-nummer toegewezen. Dit nummer begint altijd met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Wanneer je bijvoorbeeld zoekt op CVE-2021-44228 zie je de beruchte Log4j-kwetsbaarheid.
Welke informatie is er te vinden?
In de CVE wordt de kwetsbaarheid niet heel uitgebreid beschreven. Wel kun je in het CVE-ID, een korte toelichting en veel referenties naar informatiebronnen vinden. Er staat dus meestal geen concrete oplossing voor de kwetsbaarheid beschreven, maar soms is deze wel te vinden in één van de referenties.
Een van de eerste linkjes die je in de CVE vindt, is die naar de Amerikaanse National Vulnerability Database. Hier staat meer uitgebreide informatie over de kwetsbaarheid zoals handvaten voor het oplossen ervan en de CVSS-score. De CVSS-score geeft op een schaal van 1 tot 10 aan hoe ernstig de kwetsbaarheid is. De Log4j-kwetsbaarheid krijgt bijvoorbeeld een CVSS-score van 10.0 (critical).
Wat heb je als bedrijf aan de CVE?
De CVE kan een goed beeld schetsen van de kwetsbaarheden die een risico vormen voor je bedrijf. Je kunt aan de hand van de software die binnen het bedrijf gebruikt wordt, zoeken in de database en de publicaties van nieuwe relevante kwetsbaarheden monitoren. Op deze manier ben je altijd op de hoogte van de bekende kwetsbaarheden die gebruikt kunnen worden om jouw bedrijf aan te vallen.
Wel is het belangrijk te onthouden dat de CVE-lijst op vrijwillige basis is en dat niet iedere producent zijn gevonden kwetsbaarheden meldt. Gelukkig doen de meeste grote software-producenten dit doorgaans wel. Maar dan nog kan het uiteraard zijn dat er een kwetsbaarheid is die nog niet is ontdekt (zero-day).
Daarnaast melden leveranciers vaak pas een kwetsbaarheid aan wanneer ze een oplossing hebben gevonden. Dit doen ze om te voorkomen dat hackers de kwetsbaarheden misbruiken voordat er een oplossing is. De CVE helemaal doorspitten geeft dus niet de garantie dat je geen kwetsbaarheden of blootstellingen meer hebt.
Wat is het verschil tussen Vulnerabilities en Exposures?
Het overgrote deel van de database bestaat uit kwetsbaarheden (vulnerabilities), daarnaast staan er staan ook blootstellingen (exposures) in. Maar wat is nu precies het verschil tussen kwetsbaarheden en blootstellingen?
Een kwetsbaarheid is een zwakte in een informatiesysteem, beveiligingsprocedure of interne controle die kan worden uitgebuit. Hierdoor kan een hacker toegang krijgen tot, of acties uitvoeren op een specifiek computersysteem. Wanneer dit onopgemerkt blijft, kan een hacker zich voordoen als een gebruiker of systeembeheerder met volledige toegangsrechten.
Een blootstelling is breder begrip en richt zich op eventuele zwakheden in het gehele aanvalsoppervlak van informatiesystemen. Denk hierbij aan verkeerde configuraties, ontbrekende patches en toegangsproblemen. Blootstellingen kunnen aanvallers toegang geven tot persoonlijk informatie. Sommige van de grootste datalekken zijn veroorzaakt door dit soort onopzettelijke blootstellingen in plaats van door geavanceerde cyberaanvallen.
Meer weten over hoe je de CVE effectief gebruikt?
Wil jij meer weten over hoe je onder meer met de CVE de risico’s van kwetsbaarheden en blootstellingen zo veel mogelijk kunt beperken? Neem dan contact op met onze security-experts via info@computest.nl.