CVE

CVE (Common Vulnerabilities and Exposures) Nedir?

CVE, Common Vulnerabilities and Exposures'ın kısaltmasıdır. Türkçe’ ye "Bilinen zafiyetler ve etkilenmeler" olarak çevrilebilir. CVE, bilinen yazılım güvenlik açıklarını tanımlamak ve sınıflandırmak için kullanılan bir standarttır. Her bir güvenlik açığına benzersiz bir CVE Kimliği (CVE ID) verilir, bu sayede güvenlik açıkları hakkında bilgi paylaşımı ve izlenmesi daha kolay olur.

CVE 1999 yılında, ABD hükümeti tarafından finanse edilen bir araştırma ve geliştirme şirketi olan MITRE Corporation tarafından oluşturulan bir siber güvenlik açıkları sözlüğü projesidir. Günümüzde U.S. DHS (U.S. Department of Homeland Security - ABD İç Güvenlik Bakanlığı) bünyesindeki CISA’ya (Cybersecurity and Infrastructure Security Agency - Sibergüvenlik ve Altyapı Güvenliği Ajansı) bağlı olan NCSD (National Cybersecurity Division - Ulusal Sibergüvenlik Bölümü) tarafından finanse edilmektedir. CVE Programı, operasyonel olarak **MITRE** tarafından yönetilmeye devam etmektedir.

CVE'nin Amacı ve Mimarisi:

CVE'nin amacı, güvenlik açıkları hakkında bilgi alışverişini standartlaştırarak, güvenlik uzmanlarının, yazılım geliştiricilerinin ve organizasyonların bu açıkları daha hızlı ve etkili bir şekilde tanımlayıp düzeltmelerine yardımcı olmaktır.

Bir yazılımda ciddi bir güvenlik açığı keşfedildiğinde, bu açık CVE veri tabanına kaydedilir ve ona bir CVE Kimliği verilir. Bu kimlik genellikle şu formatta olur: "CVE-YIL-NUMARA". \

Örneğin; CVE-2019-1214 2019 yılında keşfedilen ve 1214 numaralı güvenlik açığı anlamına gelir.

CVE Süreci Nasıl İşler?

CVE numaraları, CNA’ler (CVE Numbering Authority) tarafından verilmektedir. Bu kuruluş, CVE Programı tarafından zafiyetlere CVE kimlikleri atama ve kendi belirli kapsam alanları içinde CVE kayıtlarını yayınlama yetkisine sahiptir. CVE’ler birden farklı şekillerde oluşturulabilir;

Mitre Corporation bünyesinde çalışan CNA editörleri tarafından;
CISA (Cybersecurity and Infrastructure Security Agency)’ya bağlı CNA’ler tarafından;
IT sektöründeki önde gelen işletim sistemi sağlayıcıları bünyesindeki CNA’ler tarafından. Bu CNA’ler, kendi firmalarındaki ürünler için CVE numaraları atayarak, yapılacak çalışmaların takibini ve anonsunun da yapılabilmesi adına kendi firmalarındaki ürünler için;
INCIBE (İspanya Ulusal Siber Güvenlik Enstitüsü) ve JPCERT/CC (Japan Computer Emergency Response Team Coordination Center) gibi bağımsız kuruluşlar, diğer CNA’lerin kapsamları dışında kalan ürünlerde tespit edilen açıklar için de CVE oluşturabilirler.

CVE'ler Nasıl Puanlandırılır?

CVE puanlandırması, bir güvenlik açığının ciddiyetini belirlemek için CVSS (Common Vulnerability Scoring System) kullanılarak yapılır. CVSS , güvenlik açıklarının önem derecesini sayısal bir puanla ifade eder ve bu puan, açığın etkileri ve nasıl kullanılabileceği gibi çeşitli faktörlere dayalıdır. CVSS, bilgisayar sistem güvenlik zafiyetlerinin risklerini değerlendirmek için kullanılan açık bir endüstri standardıdır. Bu, zafiyetlerin özelliklerini ve etkilerini tanımlamak için ortak bir dil sağlar. Bu da güvenlik profesyonelleri ve organizasyonlar arasında zafiyet bilgilerini paylaşmayı ve karşılaştırmayı kolaylaştırır.

CVSS, taban (base), geçici (temporal) ve çevresel (environmental) olmak üzere üç ana bölümde incelenir.

Taban Puanı (Base Score):

Bu bölümde, güvenlik açığının teknik özelliklerine ve etkilerine dayalı bir puan verilir. Hesaplamada kullanılan temel kriterler şunlardır:

Saldırı Vektörü (Attack Vector - AV): Açığın uzaktan, yerel veya ağ üzerinden tetiklenip tetiklenemeyeceğini belirtir.

Ağ (Network): En yüksek risk.
Yerel (Local): Daha düşük risk.

Saldırı Karmaşıklığı (Attack Complexity - AC): Açığın ne kadar kolay kullanılabileceğini değerlendirir.

Düşük (Low): Açık kolayca istismar edilebilir.
Yüksek (High): İstismar için daha karmaşık veya özel koşullar gerekebilir.

Yetkilendirme (Privileges Required - PR): Saldırganın açığı istismar etmek için gereken yetkileri belirtir.

Hiç (None): Hiçbir yetki gerekmez.
Düşük (Low): Temel yetkiler gerekir.
Yüksek (High): İstismar için ileri düzey yetkiler gerekir.

Kullanıcı Etkileşimi (User Interaction - UI): Saldırganın başarılı olması için kullanıcının bir işlem yapması gerekip gerekmediğini belirtir.

Gerekmez (None): Etkileşim gereksizdir.
Gerekir (Required): Kullanıcı müdahalesi gereklidir.

Etkiler (Impacts): Güvenlik açığının üç temel etkisi vardır:

Gizlilik (Confidentiality): Bilgi sızıntısına yol açabilir mi?
Bütünlük (Integrity): Veriler üzerinde değişiklik yapabilir mi?
Kullanılabilirlik (Availability): Sistemin kullanılabilirliğini etkileyebilir mi?

Her bir özellik için değerler atanır ve bu değerler bir algoritma ile işlenerek 0 ile 10 arasında bir taban puanı hesaplanır:

0.0 – 3.9: Düşük
4.0 – 6.9: Orta
7.0 – 8.9: Yüksek
9.0 – 10.0: Kritik

Geçici Puan (Temporal Score):

Bu kriter, güvenlik açığıyla ilgili gelişmeler dikkate alınarak hesaplanan bir puandır. Örneğin, açığın istismar kodunun mevcut olup olmadığı veya yamaların varlığı gibi faktörler değerlendirilir.

Çevresel Puan (Environmental Score):

Bu kriter, güvenlik açığının belirli bir ortamda (ağ veya sistemde) ne kadar önemli olduğunu belirler. Örneğin, bir güvenlik açığı bir sistemde kritik bir etkiye sahipken, başka bir ortamda daha az etkili olabilir.

CVE'lerin CTI Alanındaki Önemi:

CVE'lerin (Common Vulnerabilities and Exposures) siber tehdit istihbaratı (CTI - Cyber Threat Intelligence) açısından kullanımı oldukça önemlidir. Çünkü CVE'ler belirli bir sistemde veya yazılımda tespit edilen güvenlik açıklarını tanımlar ve CTI süreçlerinde bu açıkların nasıl değerlendirildiği ve yönetildiği, güvenlik stratejilerini etkiler.

Zafiyet Analizi ve Önceliklendirme: CVE'ler, güvenlik açıklarını belirlemek ve tehdit seviyesini anlamak için kullanılır. CVSS puanlarıyla hangi açıkların öncelikle ele alınması gerektiği belirlenir. Ayrıca tehdit istihbaratı (CTI), saldırganların hangi CVE'leri aktif olarak hedeflediğini izleyerek sistemlerin tehdit altında olup olmadığını gösterir.

Tehdit Aktörü Taktikleri (TTP'ler): Saldırganlar, bilinen açıkları (CVE'leri) istismar eder. CTI, özellikle gelişmiş tehdit gruplarının (APT) hangi CVE'leri kullandığını izleyerek bu saldırı yöntemlerini analiz eder. Ayrıca istismar kitleri, yaygın CVE'leri hedefler ve CTI bu kitlerdeki açıkları belirler.

İstismar Olasılığı: CTI, CVE'lerin aktif olarak kullanılıp kullanılmadığını takip eder. Bir güvenlik açığı için istismar kodu halka açıldıysa tehdit seviyesi yükselir. DarkWeb'deki satışlar da izlenerek, saldırganların bu açıkları kullanıp kullanmadığı tespit edilir.

Zafiyet Yönetimi ve Proaktif Savunma: CTI bilgileri, yamaların hangi sistemlere uygulanması gerektiğini belirler. Yaygın olarak hedeflenen CVE'ler proaktif savunma stratejilerine dahil edilerek saldırı yüzeyi azaltılır.

Tehdit İstihbaratı Raporlama: CTI raporları, hangi CVE'lerin aktif olarak saldırı altında olduğunu bildirir. Bu raporlar, saldırganların hangi açıkları kullanabileceğini öngörerek güvenlik stratejilerine rehberlik eder.

Gelecekteki Tehditlere Karşı Hazırlık: CTI, sıfır gün açıklarının ne zaman kullanılmaya başlanacağını öngörerek güvenlik ekiplerini uyarır. Bu bilgiler, kurumların proaktif güvenlik stratejileri geliştirmesine yardımcı olur.

Sonuç Olarak:

CVE'ler, yazılım güvenlik açıklarını belirlemek ve standart bir formatta paylaşmak için kullanılır. CVSS ile zafiyetler önceliklendirilir ve CTI, bu açıkların tehdit aktörleri tarafından nasıl istismar edildiğini izleyerek güvenlik stratejilerine rehberlik eder. Bu süreç, proaktif savunma ve gelecekteki tehditlere karşı hazırlık açısından kritik öneme sahiptir.

Kaynaklar ve Bağlantılar

https://www.guneybilisim.com/blog/cve-vulnerabilities-and-exposures

https://www.linkedin.com/pulse/cve-nedir-berker-tekin-z9gmf/

https://medium.com/@aycabasarn/cve-cwe-ve-cvss-f70f86838a0f

https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System

https://content.iospress.com/articles/journal-of-computer-security/jcs230218

https://nvd.nist.gov/vuln-metrics/cvss

https://cve.mitre.org/

PreviousGo Programlama Dili

Last updated 14 days ago