CVE číslovacia autorita
Národné centrum kybernetickej bezpečnosti SK-CERT má status tzv. CVE číslovacej autority (CVE Numbering Authority – CNA). Znamená to, že môže rezervovať a prideľovať CVE identifikačné čísla pre zraniteľnosti.
Čo je CVE?
Common Vulnerabilities and Exposures (CVE) je medzinárodný program, ktorý sa spolieha na objavovanie zraniteľností členmi bezpečnostnej komunity. Objaveným zraniteľnostiam je pridelené tzv. CVE číslo a zraniteľnosti sú následne publikované v CVE zozname.
Poslaním Common Vulnerabilities and Exposures (CVE®) programu je identifikovať, definovať a katalogizovať zverejnené zraniteľnosti. Pre každú zraniteľnosť existuje jeden CVE záznam.
Partneri programu publikujú CVE záznamy, aby vedeli konzistentne komunikovať informácie o zraniteľnostiach. IT a kyberbezpečnostní profesionáli používajú CVE záznamy aby sa uistili, že hovoria o tom istom probléme a koordinujú svoje činnosti tak, aby mohli prioritizovať riešenie zraniteľností.
CVE záznamy publikované v CVE zozname umožňujú všetkým rýchlo získať informácie o zraniteľnostiach, aby ich následne mohli použiť pri ochrane svojich aktív pred útokmi. CVE zoznam je budovaný CVE číslovacími autoritami (CVE Numbering Authorities – CNAs). Každý CVE záznam pridaný do databázy pochádza od niektorej z CNA.
Význam CVE
CVE umožňuje viacerým ľuďom alebo nástrojom odkazovať sa na konkrétnu zraniteľnosť a pritom vedieť, že rozprávajú o tom istom, čo vedie k významným časovým a finančným úsporám.
Program CVE sa pri odhaľovaní zraniteľností spolieha na komunitu. Zraniteľnosti sú objavené, potom priradené a zverejnené organizáciami z celého sveta, ktoré sú partnermi programu CVE.
CVE program je sponzorovaný Agentúrou pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (Cybersecurity and Infrastructure Security Agency – CISA), ktorá je súčasťou amerického ministerstva pre národnú bezpečnosť (Department of Homeland Security – DHS). Samotný program je prevádzkovaný spoločnosťou MITRE v úzkej spolupráci so subjektami z priemyslu, akademickej obce a verejných inštitúcií po celom svete.
Čo sú CNA?
CNA organizácie sú zodpovedné za správne priradenie CVE čísla zraniteľnosti a za vytvorenie a publikovanie informácií o zraniteľnosti v príslušnom CVE zázname. Každá CNA má špecifický rozsah zodpovednosti pri identifikovaní a publikovaní zraniteľností.