Le CVE (Gemeenschappelijke kwetsbaarheden en blootstellingen) is een gestandaardiseerde openbare opslagplaats die uniek identificeert en catalogiseert kwetsbaarheden van computerbeveiliging.
Elke CVE-vermelding is een genormaliseerde referentie inclusief :
- A unieke identificator (bijv:
CVE-2024-12345). - A technische beschrijving kwetsbaarheid.
- Van de referenties (koppelingen naar adviezen, patches, analyses).
Doelstelling dienen als universele taal om beveiligingslekken ondubbelzinnig te identificeren, waardoor het voor onderzoekers, uitgevers en organisaties makkelijker wordt om informatie te delen.
Verschillen tussen CVE en CVSS
| Criteria | CVE | CVSS |
|---|---|---|
| Natuur | Identificatiecode kwetsbaarheid. | Scoringssysteem beoordeling van de ernst. |
| Functie | Beantwoordt de vraag "Wat is het probleem?". | Reageert op "Hoe ernstig is het?". |
| Formaat | Tekst-ID (bijv: CVE-2024-12345). |
Numerieke score (bijv: 9,8 Kritisch). |
| Bestuur | Beheerd door MITRE Onderneming (met partners). | Beheerd door EERSTE (Forum of Incident Response and Security Teams). |
| Gebruik | Een algemene referentie voor een fout. | Helpt bij het prioriteren van patches. |
in een notendop:
- CVE = "Wat is het probleem?" → Identiteitskaart kwetsbaarheid.
- CVSS = "Hoe gevaarlijk is ze?" → Schaal van Richter cyberrisico.
Voorbeeld
- CVE-2014-0160 (Heartbleed) :
- Beschrijving Kwetsbaarheid in OpenSSL waardoor het geheugen van servers kan worden gelezen.
- CVSS v3.1 Score : 7,5 (hoog)
- Aanvalvector Netwerk (AV:N ).
- Impact Informatielekkage (C:H /I:L /A:N ).
Complementariteit
- CVE + CVSS = een volledige waarschuwing :
- Le CVE identificeert wat kwetsbaarheid bestaat (ex :
CVE-2023-4863). - Le CVSS zegt waarom het is gevaarlijk (score 8,8 = hoog risico).
- Le CVE identificeert wat kwetsbaarheid bestaat (ex :
- Praktijkvoorbeelden :
- Een bedrijf raadpleegt de CVE-database om te controleren of zijn systemen zijn aangetast.
- Het gebruikt de CVSS-score om te beslissen of de fout dringend moet worden gecorrigeerd.
Problemen
- CVE :
- Volledigheid: Vertragingen bij het registreren van kwetsbaarheden zero-day.
- Kwaliteit: Beschrijvingen soms te technisch voor niet-deskundigen.
- CVSS :
- Subjectiviteit: Scores kunnen variëren afhankelijk van de interpretatie van de statistieken.
- Beperkingen: Geeft niet altijd het echte risico in de context weer (vandaar het belang van metriek). milieu).
🔧 Gekoppeld gereedschap
- CVE databases zoals NVD (Nationale Databank Kwetsbaarheid).
- CVSS Online rekenmachines (bijv: NVD CVSS-rekenmachine).
