了解今天的软件利用得分

即使在多年的相关行业经验中,个人可以在现代软件中围绕安全漏洞的所有首字母义中丢失。存在这些缩略语中的一些,其中许多非常相似。下面讨论了一些最常见的。

CWE - 常见的弱点枚举&CVE-常见的漏洞和暴露

CVE和CWE似乎经常混乱,因此,我们将作为我们的起点。 CVE或常见的漏洞和曝光是特定于应用的。作为CWE的地方侧重于理解脆弱性的潜在原因。如果您研究CVE-2005-3299,您将在PHPMYADMIN中找到旧漏洞。在这种特定的漏洞中,攻击者可以利用PHPMyAdmin来查看通过称为本地文件包含的攻击不为其的文件。如你看到的 这里 没有多少信息真的给出了周围成功的剥削,但如果我们看看CWE-22& CWE-23 ,我们可以看到有关周围攻击本身的更多信息。读者将学习用于利用本地文件包含的技术,而不是易受这种类型攻击的特定软件。 CVE特定于易受攻击的应用程序,而CWE专注于理解问题的原因。通过阅读CWE,我们现在了解攻击者如何利用CVE,或者更准确地测量您在环境中可能拥有的特定软件的风险。

与适用CVE和CWE有关的信息对于那些正在努力捍卫您的组织的人来说非常有用。 Web上的许多地方都有此信息但是NVD或国家漏洞数据库是此事的权威。这些漏洞的严重程度根据已称为CVSS或常见漏洞评分系统的开放标准进行排名。 CVSS分数警告安全专业人员对发现的漏洞的严重性,如排名系统。

根据 维基百科基于以下公式计算得分,这取决于几种近似易爆性和利用影响的度量。得分范围为0到10,10是最严重的.

这允许安全专业人员在保护漏洞的环境中进行更明智的决策,因为他们能够以准确,有影响力的知识来解决他们可以制定行动计划的担忧。

sc–安全内容自动化协议

由于在给定的公司网络环境中不同类型的软件,安全专业人员需要一种快速准确地确定任何给定软件是否有任何已知的漏洞。这种需求导致了SCAP或安全内容自动化协议的发明。安全专业人士需要一种追求的方式,并且突然答案是答案。 SCAP允许自动化。漏洞扫描解决方案(如OpenVAS,Nessus和InsightVM)都将SCAP数据InsightVM均可进入其应用程序,这反过来自动化通过扫描匹配应用指纹的端点来查找已知漏洞的过程。  

简要回顾

CVE涉及特定的软件漏洞,而CWE专注于理解如何/为何存在该漏洞。 CVE的排名由CVSS进行排名,该CVSS集中在NVD中。最后的SCAP是允许自动扫描仪为未来扫描进行自动扫描仪的协议。

如果您的公司有兴趣使用漏洞管理,我们可以提供帮助!联系到安排一个演示,看看我们是如何“Ignyte.“您的企业安全。

必须阅读博客文章 安全软件开发生命周期(SDLC)的好处