Common Vulnerabilities and Exposures (CVE) is een gestandaardiseerde lijst met unieke identificatienummers voor beveiligingskwetsbaarheden die in software en hardware worden gevonden. Niet alleen in computers, maar bijvoorbeeld ook in bewakingscamera’s. Deze lijst is bedoeld om een uniforme benaming te bieden voor beveiligingslekken, zodat ze gemakkelijk kunnen worden geïdentificeerd, gevolgd en beheerd door beveiligingsteams, leveranciers en eindgebruikers.

Het belang van CVE

Het beheren van kwetsbaarheden is een essentieel onderdeel van cybersecurity. Organisaties moeten proactief beveiligingslekken identificeren en patchen om te voorkomen dat kwaadwillende actoren misbruik maken van zwakke punten in systemen en netwerken. CVE biedt een gestandaardiseerde manier om deze kwetsbaarheden te documenteren en te communiceren naar belanghebbenden in de cybersecuritygemeenschap.

Hoe werkt CVE?

Elke beveiligingskwetsbaarheid die wordt ontdekt, krijgt een uniek identificatienummer toegewezen, bekend als een CVE-ID. Dit ID bestaat uit het voorvoegsel ‘CVE-‘, gevolgd door een jaarlijkse toewijzing van vier cijfers en een uniek nummer, bijvoorbeeld ‘CVE-2022-1234′. De toewijzing van CVE-ID’s wordt beheerd door de CVE Numbering Authority (CNA), een organisatie die is belast met het toekennen en bijhouden van CVE-identificatienummers.

Wanneer een beveiligingslek wordt ontdekt, kan een beveiligingsonderzoeker of een organisatie een CVE-ID aanvragen bij de CVE Numbering Authority. Deze ID wordt vervolgens toegevoegd aan de CVE-lijst, samen met een beschrijving van de kwetsbaarheid, de getroffen software of hardware, en eventuele relevante details zoals de ernst van het lek en mogelijke mitigatiemaatregelen.

Het gebruik van CVE

CVE-identificatienummers worden gebruikt door beveiligingsteams, leveranciers en eindgebruikers om kwetsbaarheden te identificeren, te volgen en te patchen. Leveranciers kunnen CVE-ID’s gebruiken om hun klanten op de hoogte te stellen van beveiligingsupdates en patches die beschikbaar zijn om kwetsbaarheden te verhelpen. Beveiligingsteams kunnen CVE-identificatienummers gebruiken om de status van kwetsbaarheden in hun systemen te volgen en te prioriteren welke patches als eerste moeten worden geïmplementeerd.

Daarnaast worden CVE-identificatienummers gebruikt in de Common Vulnerability Scoring System (CVSS), een standaard voor het beoordelen van de ernst van beveiligingslekken op een schaal van 0 tot 10. Deze scores helpen organisaties om de ernst van kwetsbaarheden te begrijpen en de juiste acties te ondernemen om ze te verhelpen.

Het belang van het volgen van CVE’s

Het is van vitaal belang voor organisaties om CVE-identificatienummers actief te volgen en te beheren als onderdeel van hun cybersecuritybeheer. Door op de hoogte te blijven van bekende kwetsbaarheden en de beschikbaarheid van patches, kunnen organisaties hun systemen en netwerken beschermen tegen potentiële beveiligingsrisico’s en ervoor zorgen dat ze altijd op de hoogte zijn van de laatste beveiligingsupdates en patches.