CVE vs CWE

Links

• Common Vulnerabilities and Exposures
• Common Weakness Enumeration
• Common Attack Pattern Enumeration and Classification
• Классификация уязвимостей информационных систем ФСТЭК
• Калькулятор расчёта рейтинга уязвимости по CVSS
• Системы классификации и оценки уязвимостей и угроз информационных систем

Определения

• Задачи информационной безопасности (ИБ) - обеспечить конфиденциальность, целостность, доступность (Confidentiality, Integrity, Availability - CIA triad) в информационной системе (ИС);
• Угрозы ИБ (threat) - потенциальные опасности ИС, если нарушитель использует её уязвимости для атак. Угрозы бывают трёх видов: нарушение конфиденциальности, целостности, доступности;
• Уязвимости (vulnerability) - недостатки ПО, оборудования или в мерах по обеспечению безопасности с точки зрения человеческого фактора, которые дают возможность злоумышленнику проникнуть в ИС и совершать там противоправные действия (реализация угрозы);
• Источник угрозы (threat agent) - хакер, недобросовестный или ошибшийся сотрудник, через которого произошла реализация угрозы, повреждение ИС, утечка данных.

Каждая уязвимость получает ранг на основе факторов:

1. Какие системы затронуты;
2. Какие данные в опасности;
3. Какие бизнес-функции находятся под угрозой;
4. Насколько легко реализовать атаку и добиться компрометации ИС;
5. Потенциальный ущерб в результате уязвимости.