Dự án Vulnrichment với mục tiêu làm phong phú các bản ghi CVE công khai với dữ liệu từ Bảng liệt kê nền tảng chung (CPE), Hệ thống chấm điểm lỗ hổng bảo mật (CVSS), Bảng liệt kê điểm yếu chung (CWE) và Các lỗ hổng bị khai thác đã biết (KEV).
Đến thời điểm hiện tại, CISA đã làm phong phú 1.300 lỗ hổng CVE, đặc biệt là các CVE mới, đồng thời đang yêu cầu tất cả các cơ quan đánh số CVE (CNA) cung cấp thông tin đầy đủ khi gửi thông tin về lỗ hổng bảo mật tới địa chỉ: https://CVE[.]org.
CISA cho biết ban đầu họ sẽ làm “giàu thông tin” từng CVE thông qua quy trình tính điểm Phân loại lỗ hổng bảo mật dành riêng cho các bên liên quan (SSVC). SSVC do CISA phối hợp với Viện Kỹ thuật phần mềm tới từ Đại học Carnegie Mellon (Hoa Kỳ) phát triển, cung cấp những phương pháp phân tích lỗ hổng nhằm xác định các hành vi khai thác, tác động an toàn và mức độ phổ biến của sản phẩm bị ảnh hưởng bởi các lỗ hổng.
CISA sử dụng mô hình cây quyết định SSVC nhằm mục đích xếp các lỗ hổng vào một trong các hành vi sau:
1) Track: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
2) Track*: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
3) Attend: Khắc phục các lỗ hổng sớm hơn khung thời gian cập nhật tiêu chuẩn.
4) Act: Khắc phục các lỗ hổng ngay nhất có thể.
Đối với những CVE được đánh giá là “Total Technical Impact (tác động kỹ thuật tổng thể)”, “Automatable (có thể tự động hóa)” hoặc có giá trị “Exploitation (khai thác” là “Proof of Concept (bằng chứng về khái niệm)” hoặc “Active Exploitation (khai thác tích cực)”, phân tích sâu hơn sẽ được tiến hành.
CISA sẽ xác định xem có đủ thông tin để xác nhận mã định danh CWE cụ thể, điểm CVSS hay chuỗi CPE hay không. Bên cạnh đó lưu ý và xác nhận rằng họ không ghi đè dữ liệu CNA gốc trong bản ghi CVE gốc của lỗ hổng.
Cơ quan này hy vọng rằng, dự án Vulnrichment có thể giúp các tổ chức ưu tiên các nỗ lực khắc phục và nắm bắt được các xu hướng, bên cạnh đó có thể thúc đẩy các nhà cung cấp giải quyết các lỗ hổng.
Dự án Vulnrichment được lưu trữ trên GitHub và mỗi mục nhập CVE đều có sẵn ở định dạng JSON để cho phép các tổ chức dễ dàng kết hợp các bản cập nhật vào quy trình quản lý lỗ hổng của họ.
CISA thường là cơ quan đầu tiên đưa ra cảnh báo công khai về một lỗ hổng đang bị khai thác trên thực tế. Danh mục KEV của cơ quan này, bao gồm hơn 1.100 mục lỗ hổng bị khai thác, đã trở thành một nguồn tài nguyên quan trọng để quản lý lỗ hổng và là một nguồn thông tin rất quan trọng đối với các tổ chức, doanh nghiệp cũng như cộng đồng bảo mật trên thế giới.
Dương Ngân
(Tổng hợp)
14:00 | 28/05/2024
10:00 | 05/06/2024
14:00 | 12/06/2024
09:00 | 04/03/2024
13:00 | 01/08/2024
13:00 | 17/04/2024
12:00 | 06/05/2024
10:00 | 30/10/2024
Văn phòng Bộ Quốc phòng vừa có văn bản truyền đạt ý kiến chỉ đạo của Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng yêu cầu các cơ quan, đơn vị toàn quân chú trọng nâng cao hiệu quả công tác bảo vệ bí mật nhà nước trong Bộ Quốc phòng. Trong đó, Tổng cục Chính trị Quân đội nhân dân Việt Nam chỉ đạo cơ quan chức năng, hướng dẫn cơ quan báo chí trong quân đội chủ động phối hợp đẩy mạnh tuyên truyền, phổ biến các quy định của pháp luật về bảo vệ bí mật nhà nước trên phương tiện thông tin đại chúng.
10:00 | 27/10/2024
Cơ quan giám sát truyền thông và Internet của Ireland, Coimisiún na Meán đã thông qua và công bố Bộ quy tắc an toàn trực tuyến, áp dụng cho các nền tảng chia sẻ video phục vụ người dùng Ireland hoặc đặt trụ sở tại nước này, bao gồm TikTok của ByteDance, YouTube của Google và Instagram, Facebook Reels của Meta.
09:00 | 11/09/2024
Cơ quan lập pháp bang California của Mỹ vừa thông qua một dự luật mang tính bước ngoặt nhằm quản lý các mô hình trí tuệ nhân tạo (AI). Đây được xem là một động thái quan trọng trong việc thiết lập các quy tắc và tiêu chuẩn cho sự phát triển và ứng dụng AI, đồng thời giải quyết những lo ngại về an toàn và đạo đức liên quan đến công nghệ này.
21:00 | 29/08/2024
Nhà mạng lớn nhất Anh Quốc - EE đã lên tiếng về việc bảo vệ trẻ em khỏi tác động tiêu cực của điện thoại thông minh. Nhà mạng khuyến cáo các bậc cha mẹ không nên cho trẻ dưới 11 tuổi tiếp xúc với thiết bị này. Hướng dẫn mới được đưa ra trong bối cảnh các bậc phụ huynh ngày càng lo ngại những cạm bẫy tiềm ẩn của việc tiếp cận điện thoại thông minh đối với thanh thiếu niên.