Každý den bezpečnostní výzkumníci a analytici (tzv. “White Hat” etičtí hackeři) odhalí po celém světě desítky až stovky vážných zadních vrátek, přetečení paměti a chyb ve Windows systémem, Linuxu, hardwarových procesorech nebo i v domácích webových fotoaparátech. Pokud by pro správu rizik pod křídly úřadu neexistoval unifikovaný jednotný jmenný rejstřík, administrátoři na planetě by se naprosto ztratili pod nepřehlednou hromadou e-mailů s popisy a nedorozuměním např.: “Hej šéfe, v aktualizaci Java je po včerejšku jakási strašně nebezpečná díra, ale nevím přesně na kterou verzi vydali to varování u NÚKIB”

A přesně proto za účelem mezinárodní sjednocenosti vznikl standard katalogizace rizik zranitelnostního vládnutí (a globálního Vulnerability managementu) pro byznys nazvaný zkratkou CVE.

Co je formát CVE?

Zkratka CVE pocházející z anglického Common Vulnerabilities and Exposures představuje ohromný oficiální adresář historicky nalezených defektů a softwarových děr.

Když dnes výzkumník nahlásí jakoukoliv objevenou kritickou chybu v kódu routeru cizí firmy a informaci s důkazy pošle do světa na přezkum expertních komisí k certifikaci (pověřený styčný vydávací úřad jako např. organizace CISA nebo MITRE Corporation drží štítek CNA - CVE Numbering Authority), získá tato nová “odhalená nebezpečná bomba v softwaru” celosvětově jedinečný štítkový občanský průkaz (identifikátor):

Příklad známého hlášeného identifikátoru pro vážnou hrozbu webkamery v roce 2021 bude znít přesně jako: CVE-2021-44228

Díky striktní definici formatu CVE-ROK-UNIKÁTNÍ_ČÍSLO se tak dovedou i automatizované bezpečnostní firewally, celosvětové antiviry a nasazovací korporátní týmy neomylně matematicky bavit úplně na 100% o jedné a té stejné softwarové události a záplatě. Antivir pak suše nahlásí „Server A chybí patch pro CVE-2021-44228“ a žádná mýlka se nekoná.

Skóre nebezpečnosti: systém CVSS

Ovšem, i když analytik v práci na palubním počítači od systému uvidí červené vybaflé hlášení objevu “Nový ransomware zneužívající CVE-2023-10020 v našem systému”, technik si přeci rovnou neuvědomí z daného čísla a nadpisu o jak fatální průšvih ve firmě teď jde. Má o půlnoci telefonicky zvonit ředitelům divizí a probudit všechny odtáhnutím pojistek od elektřiny? Nebo se nic světoborného neděje, protože k narušení serverů ze strany útoku je podmínka vlastnit cizí hardware flashky k odpálení na lokále přímo v serverovně z fyzického pultu?

Zákon ZoKB i interní normy pro obranu proto vyžadují přesné prioritizační řazení incidentů. K tomu u vydávání katalogu CVE slouží neodmyslitelně vložený bodovací vzorec hodnocení označovaný tabulkou CVSS (Common Vulnerability Scoring System). Na základě expertní dotazníkové zkoušky (jestli chyba jde využít z cizí země na síti z gauče, jestli k tomu útočník potřeboval lkrást cizí administrátorské konto heslo apod..) ohodnotí daný záznam CVE finální kritičností na exaktní škále od bodu 0.0 do 10.0:

  • Hodnocení None/Low (0.1 - 3.9 bodů): Prkotiny a nepodstatná útočná selhání, co sice jsou popsaná ve zpravodajství, ale vyžadují od hackerů astronomické podivné podmínky nasazení nebo složité klikání od uživatele pro finální poškození účtu. Oprava je formou klasických ročních firemních updatů.
  • Hodnocení Medium (4.0 - 6.9): Zajímavá, byť stěží proveditelná záchytná chybička uprostřed na vaší síti pro propracované nákazy – útok po síti by mohl provést jen ten hacker z internetu, který dříve do toho systému například prolomil cizí ověřený lokální učet k předešlému zfalšovanému podvržení certifikátů.. atp. Zde se instalují do firem běžně střední opravy pro jistotu.
  • Hodnocení High (7.0 - 8.9): Vážný stav poplachu sítě. Útočník by pravděpodobně bez hesla k síti na vzdáleno mohl přes díru ovlivnit proces okénka pro odposlech a nebo přeplnit port sítě a systém nenávratně seknout od služeb.
  • Kritické selhání (9.0 - 10.0 bodů): Ultimátní hrozba pro řády Risk týmu s nočním svoláním ředitelství. Falešný ruský čí čínský útočník na druhé straně glóbu bez ověření sítě na cizí IP zčistajasna s pouhým jedním odeslaným textovým malformovaným příkazem po portu dosáhne naprosto z venku na vnitřní jádro vašich firemních databází na lokální vrstvě celého vnitřního cloudu s nejvyšší silnou administrací. Může vás celkově šifrově zničit s instalací backdooru Ransamware pro úplatek. Pokud EDR server oznámí plné děravé kritické ohrožení s nálepkou formátu CVE s logem CVSS Baseline 10.0, systémy sítě pro odříznutí kabelu strhávají plnou provozní pohotovost z perimetru do pár desítek vteřin.