网络安全人士可能会问这样一个问题,安全漏洞是哪里来的,什么渠道,可靠吗。那么多的安全产品,他们的漏洞库都是自己整理的吗?(怎么可能撒),虽然各安全厂商都搞自己的威胁情报中心,但是威胁情报除了自研的,很多还是靠类似公益的机构来支持,比如业界大家都知道的几个平台,我们就简单和大家掰扯掰扯吧。
头部的安全厂商会搞自己的漏洞收集平台,也有项目形式的,比如国外的CVE,NVD和国内的CNVD,CNNVD。重点说说CVE吧。
CVE:英文全称是“Common Vulnerabilities & Exposures” 通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明一个漏洞,如果有CVE名称,你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题。其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。
官网: http://cve.mitre.org/
为什么会有CVE: 各个安全厂家在阐述自己产品的水平时,都会声称自己的扫描漏洞数最多,你说有1000种,我说有5000。直接比较他们的数据库是很困难的,也不科学,但是用户如何辨别?不同的厂家在入侵手法和漏洞这方面的知识库各有千秋,用户如何最大限度地获得所有安全信息?CVE就是在这样的环境下应运而生的。现在的安全工具,比如漏扫,都支持或者兼容CVE漏洞,就是CVE里有的漏洞,它都能作为漏洞库进行检测。
CVE的特点:
- 为每个漏洞和暴露确定了唯一的名称
- 给每个漏洞和暴露一个标准化的描述
- 不是一个数据库,而是一个字典
- 任何完全迥异的漏洞库都可以用同一个语言表述
- 由于语言统一,可以使得安全事件报告更好地被理解,实现更好的协同工作
- 可以成为评价相应工具和数据库的基准
- 非常容易从互联网查询和下载,
- 通过“CVE编辑部”体现业界的认可
(CVE 的编辑部成员包括了各种各样的有关信息安全的组织,包括:安全厂商,学术界,研究机构,政府机构还有一些卓越的安全专家。通过开放和合作式的讨论,编辑部决定哪些漏洞和暴露要包含进CVE,并且确定每个条目的公共名称和描述。)
CVE的命名:
命名过程从发现一个潜在的安全漏洞开始;首先赋予一个CVE候选号码;接着,编辑部会讨论该候选条目能否成为一个CVE条目;如果候选条目被投票通过,该条目会加进CVE,并且公布在CVE网站上。
我们结合某一产品举个例子吧。
这个是某安全工具里的漏洞检测功能,此处它提示检车到某IP地址的漏洞,就是符合CVE-2009-1172的描述。那么用户如果想知道详细的改漏洞的描述或者信息,可以在CVE的官网查阅,比如下图
在CVE的官方网站可以查阅到收录的各种漏洞,目前已经快15万条了。
关于漏洞的详细描述,网站上有相关信息,包括该漏洞在其他平台组织的编号信息等。也就是同一个漏洞,在不同的组织中被命名或编号是不同的,但是他们说的是同一个漏洞。
除了CVE,著名的再就是NVD(美国国家通用漏洞数据库)和CNVD,NNVD了。
CNVD: 国家信息安全漏洞共享平台(China National Vulnerability Database)https://www.cnvd.org.cn/
由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。
CNNVD : 国家信息安全漏洞库 http://www.cnnvd.org.cn/web/index.html
CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心(一般简称国测,国测的主管单位是Security部),是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。
详细内容,可以点进去看看,但是今天这个网站,点了就报错,估计也经常被攻击吧。
其他就不多说了,多是一些安全厂商自建的平台,可以理解为第三方众测平台吧。感觉第三方这种的含金量要差一些,没有CVE等那么高质量吧。毕竟CVE的申请过程也比较麻烦。
原文:https://blog.csdn.net/weixin_41686586/article/details/113996298
2119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
