أتعلم ما هو الـ CVE؟

Security
نقاط الضعف والتعرض الشائعة، هي عبارة عن قاعدة بيانات تضم جميع نقاط الضعف أو الثغرات الخاصة بقضايا أمن المعلومات التي تم الكشف عنها،تم إطلاق CVE لأول مرة في عام 1999
Amr Naom
March 10, 2023, 3 p.m.
amr
أتعلم ما هو الـ CVE؟

ما المقصود بـ Common Vulnerabilities and Exposures (CVE)؟

نقاط الضعف والتعرض الشائعة، هي عبارة عن قاعدة بيانات تضم جميع نقاط الضعف أو الثغرات الخاصة بقضايا أمن المعلومات التي تم الكشف عنها، يحدد رقم الـ CVE ثغرة واحدة من القائمة، وتوفر طريقة ملائمة وموثوقة جداً لأصحاب الشركات والأكاديميين ومهندسين أمن المعلومات لتبادل المعلومات و التعرف علي الثغرات الجديدة حول قضايا الأمن السيبراني، فعادة ما تستخدم الشركات  الـ CVE للتخطيط وتحديد الأولويات في برامج إدارة الثغرات الأمنية.

متي ظهرت الـ CVE؟ 

تم إطلاق CVE لأول مرة في عام 1999، تتم إدارتها من قبل منظمة الأمن السيبراني الوطني | National Cybersecurity FFRDC (Federally Funded Research and Development Center) ، وذلك برعاية الحكومة الفيدرالية الأمريكية، وتساهم أيضاً كلاً من وزارة الأمن الداخلي الأمريكية (DHS) و وكالة الأمن السيبراني وأمن البنية التحتية (CISA) في تمويل تشغيلها.

 

مما يتكون مُعرف الـ CVE؟

لكل CVE مُعرف يتم تعيينه بواسطة أكثر من 100 مرجع ترقيم "CVE Numbering Authorities (CNAs)"، تشمل CNA بائعي تكنولوجيا المعلومات "IT vendors"، الجامعات، شركات ومؤسسات الأمن، وأيضاً MITRE نفسها.

مُعرف CVE يكون بهذا الشكل  CVE-[Year]-[Number]، فالسنة هي السنة التي تم الإبلاغ فيها عن الثغرة، أما الرقم هو رقم تسلسلي يتم وضعه من قبل الـ CNA.

علي سبيل المثال CVE-2019-0708، هو ثغرة في بروتوكول سطح المكتب البعيد (RDP) من مايكروسوفت، وقد تأخد الثغرة لقب غير رسمي كطريقة سهلة لتذكر تلك الثغرة الأمنية، وحتي أنها قد تحصل علي شعار أو رسم خاص بها، وذلك يتم من قبل فرق التسويق والمؤسسات التي تتطلع لنشر معلومات عن تلك الثغرات لجذب الصحفيين.

الفوائد من الـ CVE:

  • تتيح للمؤسسات والشركات وضع أساس لتقييم أدوات الأمان الخاصة بها، ومعرفة ما تغطيه كل أداة ومدي ملائمتها للمؤسسة.
  • تمكن المؤسسات أيضاً من الحصول بسرعة ودقة علي معلومات عن تلك الثغرات.
  • يمكن أن تستخدم أيضاً للحصول علي توقيعات "signatures" هجوم معروفة لتحديد الثغرات الأمنية.

 

من يبلَغ عن الـ CVE؟

  1. الباحثين.
  2. القراصنة ذو القبعات البيضاء | white hat hackers.
  3. العديد من الشركات تقوم بتشجيع الأشخاص للبحث عن ثغرات أمنية، ويكون هناك مكافئات، وبذلك يتم تحسين الوضع الأمني للمنتجات.
  4. يمكن لأي شخص الأبلاغ عن CVE لـ CNA.
  5. هناك أيضاً العديد من الأسماء الكبيرةالتي تقوم بذلك (Google، Facebook، Cisco، IBM، Intel، Dell، Apple، Adobe، MITRE، ... وغيرهم).

كم يبلغ عدد CVEs؟

هناك الآلاف من الـ CVEs يتم إيجادها كل عام، فمنذ أن بدأت في عام 1999م، تم إصدار أكثر من 130 ألف مُعرف CVE حيث أنه بمعدل 12 ألف إلي 15 ألف CVE سنوياً، وقد بلغ عددهم حالياً أكثر من 5 آلاف هذا العام "2023" وما زال هناك الكثير.

يمكنك تصفح جميع الـ CVEs من خلال CVE Details، ومعرفة تفاصيل أكثر عن تلك الثغرات.

إلي هنا عزيزي القارئ تكون نهاية مقالتنا، نلقاك في مقالة أخري، مع موضوع جديد، ودمت في سلام ❤️

 

References:

CVE CVEs Vulnerability Vulnerabilities ثغرة نقاط ضعف Amr Naom