CVE

Definitie

CVE (Common Vulnerabilities and Exposures) is de wereldstandaard voor het nummeren van bekende beveiligingslekken. Elk CVE-nummer verwijst naar een specifieke, gedocumenteerde kwetsbaarheid in software of hardware.

CVE (Common Vulnerabilities and Exposures) is het wereldwijde standaardsysteem voor het identificeren en nummeren van bekende beveiligingskwetsbaarheden in software en hardware. In 2023 werden meer dan 29.000 nieuwe CVE's gepubliceerd, een record dat de explosieve groei van ontdekte kwetsbaarheden onderstreept.

Hoe werkt CVE?

Elk ontdekte beveiligingslek krijgt een uniek CVE-nummer in het formaat CVE-JAAR-VOLGNUMMER, bijvoorbeeld CVE-2024-3094 (de XZ Utils backdoor). MITRE Corporation beheert het CVE-programma in opdracht van het U.S. Department of Homeland Security. CVE Numbering Authorities (CNA's) zoals Microsoft, Google en Red Hat kunnen zelfstandig CVE-nummers toewijzen voor kwetsbaarheden in hun producten. Elke CVE-entry bevat een beschrijving van de kwetsbaarheid, de getroffen producten en referenties naar patches of mitigaties.

CVSS-ernstscore

Elke CVE krijgt een Common Vulnerability Scoring System (CVSS)-score van 0,0 tot 10,0 die de ernst aangeeft. Scores van 9,0-10,0 zijn kritiek, 7,0-8,9 hoog, 4,0-6,9 gemiddeld en 0,1-3,9 laag. De CVSS-score is gebaseerd op factoren zoals de complexiteit van exploitatie, de benodigde privileges, de impact op vertrouwelijkheid, integriteit en beschikbaarheid, en of er gebruikersinteractie nodig is. Organisaties gebruiken CVSS-scores om te prioriteren welke kwetsbaarheden het eerst moeten worden gepatcht.

Impact voor organisaties

CVE-databases zijn de ruggengraat van vulnerability management. Zonder CVE-monitoring weten organisaties niet welke bekende kwetsbaarheden in hun systemen aanwezig zijn. Aanvallers exploiteren bekende CVE's vaak binnen dagen na publicatie, met zero-day exploits soms nog eerder. De Log4Shell-kwetsbaarheid (CVE-2021-44228) trof miljoenen systemen wereldwijd. NIS2 verplicht organisaties tot systematisch kwetsbaarheidsbeheer. ISO 27001 vereist een proces voor het identificeren en behandelen van technische kwetsbaarheden. PCI DSS schrijft voor dat kritieke kwetsbaarheden binnen 30 dagen worden gepatcht. Het NCSC publiceert beveiligingsadviezen gebaseerd op CVE's die Nederlandse organisaties treffen.

Bescherming

Implementeer een gestructureerd vulnerability management-programma dat CVE-feeds integreert. Gebruik vulnerability scanners die automatisch patchen tegen CVE-databases. Prioriteer op basis van CVSS-score, exploiteerbaarheid en relevantie voor de eigen omgeving. Automatiseer patchprocessen waar mogelijk. Monitor exploit-databases zoals Exploit-DB en CISA Known Exploited Vulnerabilities voor actief misbruikte CVE's.

Hoe DEFION helpt

DEFION biedt Continuous Vulnerability Management waarbij het team continu CVE-feeds monitort en kwetsbaarheden prioriteert op basis van daadwerkelijk risico voor de specifieke omgeving. Pentests valideren of kritieke CVE's in de praktijk exploiteerbaar zijn.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: