Dự án Vulnrichment với mục tiêu làm phong phú các bản ghi CVE công khai với dữ liệu từ Bảng liệt kê nền tảng chung (CPE), Hệ thống chấm điểm lỗ hổng bảo mật (CVSS), Bảng liệt kê điểm yếu chung (CWE) và Các lỗ hổng bị khai thác đã biết (KEV).
Đến thời điểm hiện tại, CISA đã làm phong phú 1.300 lỗ hổng CVE, đặc biệt là các CVE mới, đồng thời đang yêu cầu tất cả các cơ quan đánh số CVE (CNA) cung cấp thông tin đầy đủ khi gửi thông tin về lỗ hổng bảo mật tới địa chỉ: https://CVE[.]org.
CISA cho biết ban đầu họ sẽ làm “giàu thông tin” từng CVE thông qua quy trình tính điểm Phân loại lỗ hổng bảo mật dành riêng cho các bên liên quan (SSVC). SSVC do CISA phối hợp với Viện Kỹ thuật phần mềm tới từ Đại học Carnegie Mellon (Hoa Kỳ) phát triển, cung cấp những phương pháp phân tích lỗ hổng nhằm xác định các hành vi khai thác, tác động an toàn và mức độ phổ biến của sản phẩm bị ảnh hưởng bởi các lỗ hổng.
CISA sử dụng mô hình cây quyết định SSVC nhằm mục đích xếp các lỗ hổng vào một trong các hành vi sau:
1) Track: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
2) Track*: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.
3) Attend: Khắc phục các lỗ hổng sớm hơn khung thời gian cập nhật tiêu chuẩn.
4) Act: Khắc phục các lỗ hổng ngay nhất có thể.
Đối với những CVE được đánh giá là “Total Technical Impact (tác động kỹ thuật tổng thể)”, “Automatable (có thể tự động hóa)” hoặc có giá trị “Exploitation (khai thác” là “Proof of Concept (bằng chứng về khái niệm)” hoặc “Active Exploitation (khai thác tích cực)”, phân tích sâu hơn sẽ được tiến hành.
CISA sẽ xác định xem có đủ thông tin để xác nhận mã định danh CWE cụ thể, điểm CVSS hay chuỗi CPE hay không. Bên cạnh đó lưu ý và xác nhận rằng họ không ghi đè dữ liệu CNA gốc trong bản ghi CVE gốc của lỗ hổng.
Cơ quan này hy vọng rằng, dự án Vulnrichment có thể giúp các tổ chức ưu tiên các nỗ lực khắc phục và nắm bắt được các xu hướng, bên cạnh đó có thể thúc đẩy các nhà cung cấp giải quyết các lỗ hổng.
Dự án Vulnrichment được lưu trữ trên GitHub và mỗi mục nhập CVE đều có sẵn ở định dạng JSON để cho phép các tổ chức dễ dàng kết hợp các bản cập nhật vào quy trình quản lý lỗ hổng của họ.
CISA thường là cơ quan đầu tiên đưa ra cảnh báo công khai về một lỗ hổng đang bị khai thác trên thực tế. Danh mục KEV của cơ quan này, bao gồm hơn 1.100 mục lỗ hổng bị khai thác, đã trở thành một nguồn tài nguyên quan trọng để quản lý lỗ hổng và là một nguồn thông tin rất quan trọng đối với các tổ chức, doanh nghiệp cũng như cộng đồng bảo mật trên thế giới.
Dương Ngân
(Tổng hợp)
14:00 | 28/05/2024
10:00 | 05/06/2024
14:00 | 12/06/2024
09:00 | 04/03/2024
13:00 | 01/08/2024
13:00 | 17/04/2024
12:00 | 06/05/2024
10:00 | 29/11/2024
Meta đưa ra thông báo công ty đã xóa 2 triệu tài khoản trên khắp các nền tảng của mình kể từ đầu năm, đây là các tài khoản có liên quan đến các hành vi lừa đảo theo nhiều cách thức khác nhau. Hầu hết các tài khoản này có nguồn gốc từ Myanmar, Lào, Các Tiểu vương quốc Ả Rập Thống nhất, Philippines và Campuchia.
10:00 | 04/11/2024
Ngày 28/10 vừa qua, Chính quyền Tổng thống Biden cho biết nước này đang hoàn thiện các quy tắc sẽ hạn chế các khoản đầu tư của Hoa Kỳ vào trí tuệ nhân tạo (AI) và các lĩnh vực công nghệ khác tại Trung Quốc có thể đe dọa đến an ninh quốc gia của Hoa Kỳ.
11:00 | 24/10/2024
Trong chiến lược quốc gia về ứng dụng và phát triển công nghệ Blockchain đến năm 2025, định hướng đến năm 2030 mới được ban hành ngày 22/10, Ban Cơ yếu Chính phủ giữ vai trò quan trọng trong việc đảm bảo an toàn, bảo mật cho hệ sinh thái Blockchain tại Việt Nam, đặc biệt trong lĩnh vực cơ yếu và chữ ký số chuyên dùng công vụ.
14:00 | 16/10/2024
Trung Quốc sẽ triển khai một loạt các quy định an ninh mạng mới vào năm 2025, nhấn mạnh vào an ninh quốc gia và yêu cầu các công ty cung cấp dịch vụ trí tuệ nhân tạo (AI) tạo sinh phải tăng cường bảo vệ dữ liệu.