CVE, NVD, CWE

CVE

Common Vulnerability and Exposure = Common Vulnerabiliy Enumeraion

원래는 Exposure였는데 CWE 까지 생기면서 Enumeration이 됨

.org 도메인 => 공익 목적

 

목적: 취약점에 대한 공통 이름을 붙이고 사전을 만들자

식별이 굉장히 중요하고, 정의도 해야함

CVI ID를 가짐 => 자동화, 협업사 간 논의, 공유에 도움이 됨

** 2013년까진 4자리였다.(취약점이 많아도 10000개는 안된다) 그 이후 넘어섰다 (디지털 대전환)

 

예) CVE-2014-0106 (Heartbleed)

SSL 에 문제가 있어서 TLS를 사용하는데, 이것과 관계된게 하트블리드

** TLS가 SSL 3.0

 

예) CVE-2023-23836 (SolarWinds Platform Deserialization of Untrusted Data Vulnerability)

서플라이 체인 어택과 관련있는 취약점

 

CVSS (Common Vulnerability Scoring System)

0~10점수를 매기고 10점에 가까울수록 크리티컬

Metrics(평가 지표)

- CIA가 포함됨

- 공격의 복잡도가 낮을수록 하기 쉬우니 위험이 높아짐

- 권한이 필요 없을수록 위험

 

NVD

National Vulnerability Database

미국 정부가 관리하는 취약점 관리 데이터베이스

NIST가 관리하고, 자동화하기 위한 프로토콜이 존재

 

CVE와 NVD

서로 분리된 프로그램.

미국 정부가 단순히 CVE를 모으지만 말고 활용하기 위해 NVD 만듦

연동되어서 CVE 정보가 NVD에 업데이트됨

DHS(국가보안국), CISA의 지원을 받음

 

CWE

Common Weakness Enumeration

근본적인 실수 = 약점

CWSS (Common Weakness Scroing System) 존재

 

CWRAF (Common Weakness Risk Analysys Framework)

절차(프레임워크, 체계)를 만들어 위험을 분석

 

대략 600개의 카테고리.

유사한 취약점을 묶어 하나의 약점으로 취급

 

CVE -> CWE -> CAPEC -> ATT&CK

CAPEC은 공격 패턴 데이터베이스