CISA công bố dự án Vulnrichment mới để hỗ trợ quản lý lỗ hổng CVE
Dự án mới
Dự án Vulnrichment với mục tiêu làm phong phú các bản ghi CVE công khai với dữ liệu từ Bảng liệt kê nền tảng chung (CPE), Hệ thống chấm điểm lỗ hổng bảo mật (CVSS), Bảng liệt kê điểm yếu chung (CWE) và Các lỗ hổng bị khai thác đã biết (KEV).
Đến thời điểm hiện tại, CISA đã làm phong phú 1.300 lỗ hổng CVE, đặc biệt là các CVE mới, đồng thời đang yêu cầu tất cả các cơ quan đánh số CVE (CNA) cung cấp thông tin đầy đủ khi gửi thông tin về lỗ hổng bảo mật tới địa chỉ: https://CVE[.]org.
Cách thức hoạt động của dự án Vulnrichment
CISA cho biết ban đầu họ sẽ làm “giàu thông tin” từng CVE thông qua quy trình tính điểm Phân loại lỗ hổng bảo mật dành riêng cho các bên liên quan (SSVC). SSVC do CISA phối hợp với Viện Kỹ thuật phần mềm tới từ Đại học Carnegie Mellon (Hoa Kỳ) phát triển, cung cấp những phương pháp phân tích lỗ hổng nhằm xác định các hành vi khai thác, tác động an toàn và mức độ phổ biến của sản phẩm bị ảnh hưởng bởi các lỗ hổng.
CISA sử dụng mô hình cây quyết định SSVC nhằm mục đích xếp các lỗ hổng vào một trong các hành vi sau:
1) Track: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
2) Track*: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
3) Attend: Khắc phục các lỗ hổng sớm hơn khung thời gian cập nhật tiêu chuẩn.
4) Act: Khắc phục các lỗ hổng ngay nhất có thể.
Đối với những CVE được đánh giá là “Total Technical Impact (tác động kỹ thuật tổng thể)”, “Automatable (có thể tự động hóa)” hoặc có giá trị “Exploitation (khai thác” là “Proof of Concept (bằng chứng về khái niệm)” hoặc “Active Exploitation (khai thác tích cực)”, phân tích sâu hơn sẽ được tiến hành.
CISA sẽ xác định xem có đủ thông tin để xác nhận mã định danh CWE cụ thể, điểm CVSS hay chuỗi CPE hay không. Bên cạnh đó lưu ý và xác nhận rằng họ không ghi đè dữ liệu CNA gốc trong bản ghi CVE gốc của lỗ hổng.
Cơ quan này hy vọng rằng, dự án Vulnrichment có thể giúp các tổ chức ưu tiên các nỗ lực khắc phục và nắm bắt được các xu hướng, bên cạnh đó có thể thúc đẩy các nhà cung cấp giải quyết các lỗ hổng.
Dự án Vulnrichment được lưu trữ trên GitHub và mỗi mục nhập CVE đều có sẵn ở định dạng JSON để cho phép các tổ chức dễ dàng kết hợp các bản cập nhật vào quy trình quản lý lỗ hổng của họ.
CISA thường là cơ quan đầu tiên đưa ra cảnh báo công khai về một lỗ hổng đang bị khai thác trên thực tế. Danh mục KEV của cơ quan này, bao gồm hơn 1.100 mục lỗ hổng bị khai thác, đã trở thành một nguồn tài nguyên quan trọng để quản lý lỗ hổng và là một nguồn thông tin rất quan trọng đối với các tổ chức, doanh nghiệp cũng như cộng đồng bảo mật trên thế giới.
Dương Ngân
(Tổng hợp)