Национальная база данных уязвимостей

Национальная база данных уязвимостей (англ. National Vulnerability Database, NVD) — хранилище данных о стандартизированном управлении уязвимостями, поддерживаемое правительством США. База структурирована с использованием протокола автоматизации работы с безопасностью (SCAP). Данные из NVD позволяют автоматизировать процессы управления уязвимостями, измерения уровня безопасности и оценки соответствия стандартам. В состав базы входят сведения о контрольных списках для проверки безопасности, программных ошибках и уязвимостях, ошибках конфигурации, названиях продуктов и метриках оценки последствий. NVD поддерживает Программу автоматизации информационной безопасности (ISAP) и курируется Национальным институтом стандартов и технологий США (NIST).

8 марта 2013 года база данных была временно отключена после обнаружения того, что система, обслуживающая несколько государственных сайтов, была скомпрометирована из-за уязвимости в программном обеспечении Adobe ColdFusion^[1]^[2].

Уязвимости в NVD поступают из списка Common Vulnerabilities and Exposures (CVE), который поддерживается компанией MITRE. Присвоением новых идентификаторов уязвимостей занимаются MITRE и уполномоченные органы (CVE Numbering Authorities), после чего сведения добавляются в NVD^[3].

При добавлении уязвимостей в список CVE в NVD каждой из них присваивается оценка по системе Common Vulnerability Scoring System (CVSS)^[4]^[5]. Оценка строится на ряде параметров, таких как сложность эксплуатации и потенциальное воздействие^[6], что позволяет организациям расставлять приоритеты исправления в зависимости от серьёзности уязвимости^[4].

В июне 2017 года аналитическая компания Recorded Future сообщила, что медианное время между публичным раскрытием CVE и включением его в NVD составляет 7 дней, причём 75 % уязвимостей распространяются неофициально до размещения в NVD, что даёт злоумышленникам время на их эксплуатацию^[7].

В августе 2023 года NVD первоначально оценила переполнение целого типа в устаревших версиях cURL как критическую уязвимость (9,8 из 10 по шкале CVSS). Ведущий разработчик cURL Даниэль Стенберг заявил, что данная ошибка не представляет угрозы безопасности, была исправлена почти за четыре года до этого, попросил отклонить CVE и обвинил NVD в нагнетании паники и завышении серьёзности обнаруженных проблем^[8]. Компания MITRE не согласилась со Стенбергом, отклонила запрос на исключение CVE, указав, что «имеется действительная уязвимость, которая может привести к значимым проблемам безопасности»^[9]. В сентябре 2023 года данная уязвимость была NVD переоценена в 3,3 балла («низкий» уровень), с формулировкой, что она «теоретически может привести к отказу в обслуживании» атакуемых систем, однако этот вектор атаки «маловероятен»^[10].

Zhang S., Ou X., Caragea D. Predicting Cyber Risks through National Vulnerability Database // Information Security Journal: A Global Perspective. 2015. Vol. 24, № 4-6. pp. 194—206. DOI: 10.1080/19393555.2015.1111961

Официальный сайт Национальной базы данных уязвимостей (NVD)
Security Content Automation Protocol (SCAP)
Packet Storm
Exploit Database
База данных уязвимостей Security Content Database

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Национальная база данных уязвимостей

Обогащение CVE

Примечания

Литература

Ссылки

Категории