cve چیست؟ کاربرد و نحوه عملکرد

در دنیای پویای دیجیتال، جایی که تهدیدهای سایبری دائماً در حال تکامل هستند، درک و مدیریت آسیب‌پذیری‌های امنیتی برای افراد و سازمان‌ها بسیار مهم است. Common Vulnerabilities and Exposures (CVE) به عنوان سنگ بنای امنیت سایبری، چارچوبی استاندارد برای شناسایی، تعریف و فهرست‌بندی آسیب‌پذیری‌ها و افشاهای امنیتی اطلاعات افشا شده عمومی ارائه می‌دهد. با وجود CVE متخصصان امنیت سایبری بهتر می‌توانند اطلاعات مؤثر در زمینه امنیت را با یکدیگر به اشتراک بگذارند و وضعیت کلی امنیت سایبری را بهبود بخشند. در این مقاله به بررسی چیستی CVE، نحوه عملکرد، کاربردها، مزایا و معایب آن می‌پردازیم. با ادامه این مطلب ما را همراهی کنید.

CVE چیست؟

CVE یا Vulnerabilities and Exposures Common یک پایگاه داده عمومی است که آسیب‌پذیری‌های امنیتی شناخته‌شده در نرم‌افزار و سخت‌افزار را شناسایی و فهرست‌بندی می‌کند. این پایگاه داده به عنوان یک فرهنگ لغت عمل می‌کند و نام‌های رایج برای آسیب‌پذیری‌های امنیتی اطلاعات شناخته‌شده و عمومی و نقاط ضعف افشاشده را ارائه می‌دهد. کاربران می‌توانند هر گونه اطلاعات در این زمینه را به همراه ابزارهای امنیتی آن در این پایگاه داده به اشتراک بگذارند. 

این سیستم نام‌گذاری استاندارد برای مدیریت امنیت بسیار مهم است. فهرست CVE توسط شرکت MITRE و با پشتیبانی CVE Numbering Authorities (CNAs) نگهداری و حفاظت می‌شود. به هر آسیب‌پذیری یا آسیب‌پذیری مستند شده، یک شناسه CVE منحصر به فرد (CVE ID) اختصاص داده می‌شود که نام‌گذاری و ردیابی آسیب‌پذیری‌ها را در سازمان‌ها و ابزارهای امنیتی مختلف استاندارد می‌کند. 

این گونه اشتراک‌گذاری آنها هم راحت‌تر انجام می‌شود و همکاری میان تیم‌های اطلاعاتی بهتر انجام می‌گیرد. هدف اصلی برنامه CVE شناسایی، تعریف و فهرست‌بندی آسیب‌پذیری‌های امنیت سایبری افشا شده عمومی است. در عبارت Vulnerabilities and Exposures Common دو کلمه اساسی وجود دارد: 

• Vulnerabilities یا آسیب‌پذیری‌ها
• Exposures یا نمایش‌های عمومی

در ادامه هر دو مورد را بررسی می‌کنیم.

منظور از آسیب‌پذیری‌ها در CVE چیست؟

منظور از آسیب‌پذیری در CVE، یک ضعف در منطق محاسباتی (مانند کد) است که می‌تواند هم در اجزای نرم‌افزاری وجود داشته باشد و هم در اجزای سخت‌افزاری. در صورت سوءاستفاده از این ضعف، امنیت، یکپارچگی و دردسترس‌بودن سیستم دچار اختلال می‌گردد. در واقع این نقاط ضعف همان بخش‌هایی هستند که راه را برای دسترسی غیرمجاز یا ایجاد آسیب به شبکه‌های کامپیوتری، سیستم‌ها و داده‌ها باز می‌کنند و هکرها می‌توانند از آن‌ها سوءاستفاده کنند. 

آسیب‌پذیری‌ها می‌توانند از عوامل مختلفی از جمله نقص طراحی در نرم‌افزار، مانند نقص‌های موجود در خود سیستم‌عامل، یا نقص‌های طراحی در اپلیکیشن ناشی شوند. بهبود مستمر فناوری اطلاعات و دیجیتالی شدن صنایع، اگرچه مفید است، اما منجر به افزایش متناظر چنین نقاط ضعفی نیز شده است که می‌توانند منجر به ضررهای اقتصادی قابل‌توجهی برای شرکت‌ها شوند؛ بنابراین، درک و پرداختن به این آسیب‌پذیری‌ها برای حفظ امنیت سایبری بسیار مهم است.

انواع آسیب‌پذیری‌ها در CVE

CVE طیف گسترده‌ای از آسیب‌پذیری‌ها را در برمی‌گیرد که عموماً بر اساس ماهیت و سیستم‌هایی که تحت تأثیر قرار می‌دهند، به چندین گروه طبقه‌بندی می‌شوند. Vulnerabilities می‌توانند سخت‌افزاری، نرم‌افزاری، شبکه‌ای و حتی انسانی باشند. در ادامه مهم‌ترین انواع آسیب‌پذیری‌ها در CVE را می‌آوریم:

• سرریز بافر: این مشکل زمانی رخ می‌دهد که یک برنامه سعی می‌کند داده‌های بیشتری را در یک بافر بنویسد. در واقع، میزان داده‌ها از ظرفیت بافر بیشتر است. همین امر منجر به تخریب داده‌ها یا امکان اجرای کد دلخواه می‌شود.
• تزریق SQL: این آسیب‌پذیری‌ها که در اپلیکیشن‌های تحت وب رایج هستند، به هکرها اجازه می‌دهند تا دستورات SQL بک‌اند را از طریق داده‌های ورودی کاربر دست‌کاری کنند. در نتیجه، به طور بالقوه منجر به دسترسی غیرمجاز به داده‌ها، از دست دادن داده‌ها یا اجرای دستور در سیستم‌عامل میزبان می‌شوند.
• نقص‌های اجرای کد از راه دور (RCE): این مورد به هکر اجازه می‌دهد تا کد دلخواه را از راه دور روی دستگاه اجرا کند و کنترل سیستم را به دست گیرد. 
• آسیب‌پذیری‌های دور زدن احراز هویت: در این نوع آسیب‌پذیری هکرها می‌توانند مکانیسم‌های احراز هویت را دور بزنند و به سیستم‌ها یا برنامه‌ها دسترسی غیرمجاز پیدا کنند.
• آسیب‌پذیری‌های اسکریپت‌نویسی بین‌سایتی (XSS): منظور از این آسیب‌پذیری، ارائه اسکریپت‌های مخرب به جای صفحه سایت است. 
• حمله انکار سرویس (DoS): این حملات با هدف از دسترس خارج کردن یک ماشین یا منبع شبکه برای کاربران موردنظر، انجام می‌شود.
• مشکلات مربوط به رمزنگاری: این آسیب‌پذیری‌ها شامل نقص‌هایی در زمینه اجرای رمزنگاری و امنیت داده می‌شود.
• رمز عبور ضعیف: رمزهای داخلی ساده و قابل حدس از جمله مواردی هستند که راه را برای سوءاستفاده باز می‌کنند.

منظور از نمایش یا افشای عمومی در CVE چیست؟

در عبارت Common Vulnerabilities and Exposures بیشتر روی Vulnerabilities تأکید می‌شود. با این حال بخش دیگر این عبارت یعنی Exposures نیز نقش مهمی را ایفا می‌کند. منظور از Exposures آن پیکربندی سیستم و اشتباهی است که موجب افشای اطلاعات حساس و امکان دسترسی غیرمجاز می‌شود. به طور کلی Exposures نشان‌دهنده درک گسترده‌تری از خطرات امنیتی است که فراتر از اشکالات نرم‌افزاری هستند و هرگونه ضعفی را که می‌تواند مورد سوءاستفاده قرار گیرد، در بر می‌گیرد. هدف CVE هم شناسایی و فهرست کردن این موارد است. 

معرفی اجزای CVE

هر رکورد CVE از چندین مؤلفه اصلی تشکیل شده است که شناسایی، توضیحات و مدیریت آن را تسهیل می‌کند. اجزای CVE عبارت‌اند از:

• شناسه CVE یا CVE ID: این بخش، جزء اصلی CVE است، یک شناسه منحصر به فرد که به هر آسیب‌پذیری اختصاص داده می‌شود. فرمت هر آیدی به شکل زیر است:

CVE-YYYY-NNNNN

YYYY نشانه سال افشا و NNNNN ترکیبی از اعداد است. به عنوان مثال، CVE-2021-44228 به آسیب‌پذیری Log4Shell که در سال 2021 کشف شد، اشاره دارد. این شناسه به عنوان یک اثر انگشت دیجیتال عمل می‌کند و یک آسیب‌پذیری را از دیگری متمایز می‌کند.

• شرح آسیب‌پذیری: خلاصه‌ای مختصر که ماهیت آسیب‌پذیری و پیامدهای احتمالی آن را شرح می‌دهد. این متن به کاربران کمک می‌کند تا در زمان کمی به ماهیت آن شناسه پی ببرند. 
• منابع: در این بخش، لینک‌ها و مقالاتی وجود دارد که اطلاعات بیشتری را در مورد آن CVE به کاربران ارائه می‌دهد. این مقاله‌ها اغلب شامل توصیه‌های ایمنی، پچ و... هستند. 
• شدت یا امتیاز CVSS: ورودی‌های CVE دارای امتیازی بین 0 تا 10 هستند که نشان‌دهنده تأثیرات منفی بالقوه آن آسیب‌پذیری است. هر چه این رقم بالاتر باشد، خطر CVE بیشتر است. ناگفته نماند که امتیاز شدت CVSS از اجزای اصلی CVE نیست.
• نرم‌افزار/سیستم‌های آسیب‌دیده: این مؤلفه مشخص می‌کند که کدام نرم‌افزار، سخت‌افزار یا سیستم‌ها به دلیل آسیب‌پذیری در معرض خطر هستند. برای نام‌گذاری از سیستم عمومی CPE استفاده می‌شود تا کاربران بتوانند راحت تشخیص بدهند که آن مورد در خطر چیست. 
• اطلاعات فروشنده: این بخش شامل اطلاعاتی از فروشنده مسئول آن نرم‌افزار آسیب دیده می‌شود. 
• پچ/ اصلاحیه‌ها: در این بخش حیاتی اطلاعاتی در مورد رفع اشکالات، وصله‌ها یا راه‌حل‌های موجود برای آن آسیب‌پذیری وجود دارد و کاربران می‌توانند در مورد نحوه حفاظت در برابر آن اطلاعاتی کسب کنند. 
• تاریخ کشف و به‌روزرسانی: این تاریخ‌ها زمان اولین شناسایی آسیب‌پذیری و آخرین به‌روزرسانی اطلاعات مربوط به آن را نشان می‌دهند.
• شناسه CWE: The Common Weakness Enumeration (CWE) ID نوع ضعف اساسی را که آسیب‌پذیری از آن سوءاستفاده می‌کند، طبقه‌بندی می‌کند و بینشی در مورد علت اصلی ارائه می‌دهد.

ویژگی‌های کلیدی CVE

سیستم CVE چندین ویژگی کلیدی ارائه می‌دهد که آن را به ابزاری ضروری در امنیت سایبری تبدیل می‌کند:

• سیستم شناسایی استاندارد و قابل‌فهم و اختصاص شناسه منحصر به فرد به هر کدام از آسیب‌پذیری‌ها
• تأکید بر اطلاعات عمومی شناخته شده و ایجاد شفافیت درباره آنها و فراهم کردن بستری برای دفاع جمعی
• ارتقای قابلیت همکاری از جای‌جای دنیا
• تسهیل مقایسه بین ابزارها و خدمات امنیتی

کاربردهای CVE

سیستم CVE چندین هدف حیاتی در امنیت سایبری را دنبال می‌کند و کاربردهای مهمی دارد. از جمله:

• استانداردسازی آسیب‌پذیری‌ها:  CVEیک زبان مشترک برای شناسایی و بحث در مورد نقص‌های امنیتی فراهم می‌کند و سردرگمی ناشی از نام‌گذاری‌های متفاوت توسط ارائه‌دهندگان مختلف را از بین می‌برد. این استانداردسازی موجب ارتباط و هماهنگی مؤثر در سراسر جامعه جهانی امنیت سایبری می‌شود. 
• منابع متمرکز اطلاعات: CVE منبعی متمرکز از اطلاعات در مورد آسیب‌پذیری‌ها است. داده‌های CVE از منابع مختلفی تجمیع می‌شوند. این گونه متخصصان فعال در زمینه امنیت می‌توانند از یک منبع واحد و قابل اعتماد تمامی اطلاعات لازم را دریافت کنند.
• ردیابی و مدیریت بهتر آسیب‌پذیری‌ها: از آنجایی که هر CVE دارای یک آیدی است، ردیابی و مدیریت آنها نیز بهتر انجام می‌شود. این امر به سازمان‌ها کمک می‌کند تا میزان مواجهه خود با تهدیدات شناخته شده را رصد کرده و شیوه‌‌های اصلاحی را اولویت‌بندی کنند.
• تصمیم‌گیری آگاهانه: توسعه‌دهندگان نرم‌افزارها می‌توانند برای جلوگیری از وارد کردن ناخواسته آسیب‌پذیری‌های شناخته‌شده به سیستم‌های خود، به پایگاه‌های داده CVE مراجعه می‌کنند. این رویکرد پیشگیرانه به طراحی سیستم‌های امن‌تر از همان ابتدای کار کمک می‌کند.
• برنامه‌ریزی دفاعی پیشگیرانه: دولت‌ها، شرکت‌ها و کاربران می‌توانند با مراجعه به پایگاه‌های داده CVE از حملات سایبری جلوگیری کنند و این گونه از تهدیدات نوظهور مطلع شوند. این امر به آنها کمک می‌کند تا بتوانند سیستم‌های دفاعی کاربردی را در برابر آسیب‌پذیری‌ها به کار گیرند. 
• اولویت‌بندی مدیریت وصله‌ها: با توجه به وجود سیستم امتیازدهی، تیم‌های امنیت سایبری می‌توانند آسیب‌پذیری‌ها را بر اساس شدت و تأثیرات بالقوه آنها رتبه‌بندی و رسیدگی به آنها را اولویت‌بندی کنند.
• توسعه محصولات امنیتی: شرکت‌هایی که ابزارها و نرم‌افزارهای امنیتی طراحی و تولید می‌کنند، می‌توانند از پایگاه‌های داده CVE برای توسعه راه‌حل مقابله در برابر آسیب‌پذیری‌های شناخته‌شده استفاده کنند و حتی جلوتر از تهدیدات قدم بردارند.
• ارزیابی ریسک: سازمان‌ها از پایگاه‌های داده CVE برای ارزیابی وضعیت کلی امنیتی خود و پیش‌بینی اختلالات احتمالی (با درک ماهیت و شدت آسیب‌پذیری‌های شناسایی‌شده) استفاده می‌کنند.
• برنامه‌ریزی واکنش به حادثه: در صورت وقوع یک نقض سایبری، پایگاه‌های داده CVE می‌توانند بسیار کمک‌کننده باشند. تیم‌های واکنش به حادثه می‌توانند از این اطلاعات استفاده کنند و روش کار مهاجمان را شناسایی کرده و سریع‌تر واکنش نشان دهند.
• ارتقای کیفیت پژوهش‌های حوزه سایبری: محققان می‌توانند از پایگاه‌های داده CVE برای درک روندها، الگوها و چشم‌انداز در حال تحول تهدیدات دیجیتال استفاده کنند. این پایگاه‌ها به توسعه مطالعات دانشگاهی و پیشرفت‌ها در امنیت سایبری کمک می‌کنند.
• هماهنگی و همکاری جهانی: CVE تضمین می‌کند که یک رویکرد مشترک در برابر یک مشکل وجود دارد. وجود زبان مشترک در جامعه امنیت سایبری، موجب تقویت همکاری بین‌المللی بین متخصصان می‌شود. این گونه متخصصان می‌توانند بینش‌ها، راه‌حل‌ها و استراتژی‌ها را راحت‌تر با یکدیگر در میان بگذارند. 

مزایای استفاده از CVE

استفاده از CVE مزایای زیادی را به همراه دارد، از جمله:

• استانداردسازی شناسایی و نام‌گذاری آسیب‌پذیری‌های امنیتی شناخته‌شده عمومی
• دسترسی بهتر به اطلاعات امنیتی
• تسهیل همکاری میان تیم‌های اطلاعاتی
• شفافیت و آگاهی عمومی

معایب استفاده از CVE

به طور کلی استفاده از CVE به نفع تیم‌های امنیتی است؛ اما در برخی موارد مشکلاتی در زمینه اطلاعات آن وجود دارد که گاهی کار کردن با آن را مشکل می‌کند. بر این اساس معایب CVE عبارت‌اند از:

• اطلاعات محدود و فاقد جزئیات
• تمرکز بر نرم‌افزارهای پچ نشده و نادیده گرفتن مواردی مثل پیکربندی‌های نادرست، سیستم‌های قدیمی یا عوامل انسانی
• عدم وجود تمامی آسیب‌پذیری‌ها در لیست CVE
• کیفیت نه چندان مناسب اطلاعات و وجود داده‌های قدیمی
• حجم روبه‌رشد سریع داده‌ها و ردیابی دشوار
• تأخیر در انتشار برخی از اطلاعات

CVSS چیست؟

پیش‌تر به CVSS اشاره کردیم. The Common Vulnerability Scoring System (CVSS) یک فریمور استاندارد و باز است که برای ارزیابی شدت آسیب‌پذیری‌های امنیت اطلاعات استفاده می‌شود. CVSS توسط انجمن Forum of Incident Response and Security Teams (FIRST) مدیریت می‌شود و نوعی سیستم امتیازدهی به آسیب‌پذیری‌ها است. 

این سیستم به هر آسیب‌پذیری امتیاز عددی از 0.0 تا 10.0 اختصاص می‌دهد که امتیاز بالاتر نشان‌دهنده شدت بیشتر است. با توجه به این امتیاز، سازمان‌ها می‌توانند آسیب‌پذیری‌هایی را با توجه به شدت و فورت آن‌ها اولویت‌بندی کنند و برنامه‌ای برای مدیریت امنیت خود بچینند.

نحوه امتیازبندی CVSS

برای تعیین امتیازات CVSS به 3 معیار سنجش توجه می‌شود:

• معیارهای پایه: این معیارها نشان‌دهنده ویژگی‌های ذاتی یک آسیب‌پذیری هستند که در طول زمان و در محیط‌های مختلف کاربر ثابت می‌مانند. این معیارها شامل عواملی مانند بردار حمله، پیچیدگی حمله، تعامل کاربر و تأثیر بالقوه بر محرمانگی، یکپارچگی و دردسترس‌بودن می‌شوند.
• معیارهای زمانی: این معیارها منعکس‌کننده آن دسته از ویژگی‌های یک آسیب‌پذیری هستند که ممکن است در طول زمان تغییر کنند؛ اما در محیط‌های مختلف کاربر تغییر نمی‌کنند. نمونه‌هایی از این مورد شامل دردسترس‌بودن وصله‌ها، exploit code maturity و report confidence می‌شود.
• معیارهای محیطی: این معیارها برای انعکاس تأثیر آسیب‌پذیری در یک محیط کاربری خاص سفارشی‌سازی شده‌اند. این موارد عواملی مانند وجود کنترل‌های امنیتی که می‌توانند تأثیر را کاهش دهند، حیاتی بودن دارایی‌های آسیب‌دیده و تأثیر بالقوه بر اهداف سازمانی را در نظر می‌گیرند.

ارتباط بین CVE و CVSS

CVE و CVSS نقش‌های متمایزی را در حوزه امنیت سایبری ایفا می‌کنند؛ اما در مدیریت آسیب‌پذیری‌ها مکمل یکدیگر هستند. CVE به عنوان شناسه، CVSS به عنوان معیار شدت، میزان اهمیت و تأثیرگذاری یک آسیب‌پذیری را نمایش می‌دهند. 

وقتی یک CVE منتشر می‌شود، امتیاز CVSS مربوط به آن نیز در اختیار کاربران، سازمان‌ها و... قرار داده می‌شود. این گونه اطلاعات دقیق‌تر می‌شود و سوابق CVE غنی‌تر می‌گردد. به طور کلی، استفاده ترکیبی از CVE و CVSS برای مدیریت مؤثر آسیب‌پذیری بسیار مهم است و این دو در کنار هم تصویر جامعی از یک نقص امنیتی ارائه می‌دهند.

تفاوت CWE یا CVE

در دنیای امنیت سایبری معیار دیگری هم برای سنجش مسائل امنیتی وجود دارد. این معیار Common Weakness Enumeration (CWE) نام دارد. CWE نیز شبیه به CVE یک فرهنگ لغت استاندارد برای درک و پرداختن به نقص‌های نرم‌افزاری و سخت‌افزاری است. هدف آن ایجاد ابزارهایی برای شناسایی، رفع و جلوگیری از چنین نقص‌هایی است. 

این مجموعه توسط آژانس امنیت سایبری و زیرساخت (CISA) وزارت امنیت داخلی ایالات متحده (DHS) حمایت و توسط شرکت MITRE مدیریت می‌شود. فهرست CWE به طور منظم به‌روزرسانی می‌شود تا اطلاعات نقاط ضعف جدید و موجود تکمیل گردد. استفاده از این فهرست رایگان است. 

CWE و CVE نیز اجزای مکملی در اکوسیستم امنیت سایبری هستند و هر دو برای شناسایی و کاهش آسیب‌پذیری‌های امنیتی استفاده می‌شوند. در حالی که CVE نمونه‌های خاصی از آسیب‌پذیری‌ها را شناسایی می‌کند، CWE نقص‌ها یا نقاط ضعف رایجی را که می‌توانند منجر به آن آسیب‌پذیری‌ها شوند، دسته‌بندی می‌کند. 

در واقع، یک یا چند CVE در کلاس‌های مختلف CWE گروه‌بندی می‌شوند. به عنوان مثال، یک CVE ممکن است یک آسیب‌پذیری را در یک سیستم عامل خاص توصیف کند که ضعف آن امکان اجرای کد از راه دور است، در حالی که یک CWE نشان‌دهنده ضعفی اساسی است که به یک محصول خاص مرتبط نمی‌شود. در جدول زیر می‌توانید تفاوت‌های اصلی بین CVE و CWE را مشاهده کنید:

سخن نهایی

در دنیای سایبری امروز، حفظ امنیت اطلاعات، شناخت انواع آسیب‌پذیری‌ها و نحوه مواجهه با آن‌ها از اهمیت بسیاری برخوردار است. CVE برای کاربران، سازمان‌ها و... این امکان را فراهم می‌کند که بتوانند راحت‌تر و سریع‌تر این آسیب‌پذیری‌ها را بشناسند و اقدامات لازم برای مقاومت در برابر آن‌ها را به کار گیرند. در واقع، این سیستم موجب می‌شود تا تصمیم‌گیری آگاهانه‌ای برای مدیریت این آسیب‌پذیری‌ها اتخاذ شود. حتی امکان این امر وجود دارد که سیستم CVE با هوش مصنوعی و یادگیری ماشینی ادغام گردد و مواردی مثل ثبت آسیب‌پذیری، جمع‌آوری اطلاعات در مورد آن و... نیز به صورت خودکار و در کوتاه‌ترین زمان ممکن انجام گیرد. به طور کلی، آینده CVE در امنیت سایبری روشن است و روزبه‌روز بر اهمیت استفاده از آن افزوده می‌شود. 

سوالات متداول