CISA công bố dự án Vulnrichment mới để hỗ trợ quản lý lỗ hổng CVE

10:00 | 17/05/2024 | CHÍNH SÁCH - CHIẾN LƯỢC

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa công bố một dự án mới có tên gọi là “Vulnrichment” nhằm bổ sung thông tin quan trọng vào hồ sơ CVE. Đây là nỗ lực giúp các tổ chức cải thiện quy trình quản lý lỗ hổng của họ.

CISA công bố dự án Vulnrichment mới để hỗ trợ quản lý lỗ hổng CVE

Dự án mới

Dự án Vulnrichment với mục tiêu làm phong phú các bản ghi CVE công khai với dữ liệu từ Bảng liệt kê nền tảng chung (CPE), Hệ thống chấm điểm lỗ hổng bảo mật (CVSS), Bảng liệt kê điểm yếu chung (CWE) và Các lỗ hổng bị khai thác đã biết (KEV).

Đến thời điểm hiện tại, CISA đã làm phong phú 1.300 lỗ hổng CVE, đặc biệt là các CVE mới, đồng thời đang yêu cầu tất cả các cơ quan đánh số CVE (CNA) cung cấp thông tin đầy đủ khi gửi thông tin về lỗ hổng bảo mật tới địa chỉ: https://CVE[.]org.

Cách thức hoạt động của dự án Vulnrichment

CISA cho biết ban đầu họ sẽ làm “giàu thông tin” từng CVE thông qua quy trình tính điểm Phân loại lỗ hổng bảo mật dành riêng cho các bên liên quan (SSVC). SSVC do CISA phối hợp với Viện Kỹ thuật phần mềm tới từ Đại học Carnegie Mellon (Hoa Kỳ) phát triển, cung cấp những phương pháp phân tích lỗ hổng nhằm xác định các hành vi khai thác, tác động an toàn và mức độ phổ biến của sản phẩm bị ảnh hưởng bởi các lỗ hổng.

CISA sử dụng mô hình cây quyết định SSVC nhằm mục đích xếp các lỗ hổng vào một trong các hành vi sau:

1) Track: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.

2) Track*: Khắc phục các lỗ hổng trong khung thời gian cập nhật tiêu chuẩn.

3) Attend: Khắc phục các lỗ hổng sớm hơn khung thời gian cập nhật tiêu chuẩn.

4) Act: Khắc phục các lỗ hổng ngay nhất có thể.

Đối với những CVE được đánh giá là “Total Technical Impact (tác động kỹ thuật tổng thể)”, “Automatable (có thể tự động hóa)” hoặc có giá trị “Exploitation (khai thác” là “Proof of Concept (bằng chứng về khái niệm)” hoặc “Active Exploitation (khai thác tích cực)”, phân tích sâu hơn sẽ được tiến hành.

CISA sẽ xác định xem có đủ thông tin để xác nhận mã định danh CWE cụ thể, điểm CVSS hay chuỗi CPE hay không. Bên cạnh đó lưu ý và xác nhận rằng họ không ghi đè dữ liệu CNA gốc trong bản ghi CVE gốc của lỗ hổng.

Cơ quan này hy vọng rằng, dự án Vulnrichment có thể giúp các tổ chức ưu tiên các nỗ lực khắc phục và nắm bắt được các xu hướng, bên cạnh đó có thể thúc đẩy các nhà cung cấp giải quyết các lỗ hổng.

Dự án Vulnrichment được lưu trữ trên GitHub và mỗi mục nhập CVE đều có sẵn ở định dạng JSON để cho phép các tổ chức dễ dàng kết hợp các bản cập nhật vào quy trình quản lý lỗ hổng của họ.

CISA thường là cơ quan đầu tiên đưa ra cảnh báo công khai về một lỗ hổng đang bị khai thác trên thực tế. Danh mục KEV của cơ quan này, bao gồm hơn 1.100 mục lỗ hổng bị khai thác, đã trở thành một nguồn tài nguyên quan trọng để quản lý lỗ hổng và là một nguồn thông tin rất quan trọng đối với các tổ chức, doanh nghiệp cũng như cộng đồng bảo mật trên thế giới.

Dương Ngân

(Tổng hợp)

‹ › ×

Tin liên quan

CISA cảnh báo về lỗ hổng ảnh hưởng tới Chrome và bộ định tuyến D-Link

14:00 | 28/05/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung ba lỗ hổng bảo mật vào danh mục “Các lỗ hổng bảo mật đã bị khai thác - KEV”. Trong đó, có một lỗ hổng ảnh hưởng đến Google Chrome và hai lỗ hổng ảnh hưởng đến một số bộ định tuyến D-Link.

CISA cảnh báo về các cuộc tấn công khai thác lỗ hổng Mirth Connect của phần mềm NextGen Healthcare

10:00 | 05/06/2024

Vừa qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung lỗ hổng có định danh là CVE-2023-43208 - một lỗ hổng thực thi mã từ xa không được xác thực vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này đã ảnh hưởng đến sản phẩm Mirth Connect của phần mềm chăm sóc sức khỏe NextGen Healthcare.

Các nhà nghiên cứu phát hiện lỗ hổng trong Python Package dành cho mô hình AI và PDF.js được sử dụng trong Firefox

14:00 | 12/06/2024

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong thư mục Python llama_cpp_python có thể bị các tác nhân đe dọa khai thác để thực thi mã tùy ý.

Cảnh báo của CISA: Phần mềm ransomware Akira khai thác lỗ hổng Cisco ASA/FTD

09:00 | 04/03/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.

Thêm 2 lỗ hổng Twilio Authy và IE vào danh sách các lỗ hổng bị khai thác

13:00 | 01/08/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.

CISA phát hành phiên bản mới của hệ thống phân tích mã độc Malware Next-Gen

13:00 | 17/04/2024

Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.

CISA cảnh báo về việc khai thác lỗ hổng nghiêm trọng đặt lại mật khẩu trên GitLab

12:00 | 06/05/2024

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung một lỗ hổng nghiêm trọng ảnh hưởng đến GitLab vào danh mục các lỗ hổng bị khai thác đã biết (KEV) do hoạt động khai thác tích cực trên thực tế.

Tin cùng chuyên mục

Google sẽ phải bán trình duyệt Chrome

09:00 | 12/03/2025

Bộ Tư pháp Mỹ cho biết vẫn bảo vệ quan điểm về việc yêu cầu Google phải chia tách hoạt động kinh doanh. Theo đó, Google sẽ buộc phải bán trình duyệt Chrome nhưng vẫn được phép đầu tư vào các startup trí tuệ nhân tạo.

Các văn bản quy phạm pháp luật về an ninh, an toàn thông tin được ban hành, có hiệu lực tại Việt Nam năm 2024

16:00 | 22/01/2025

Sự phát triển nhanh chóng của công nghệ số cùng những thách thức ngày càng gia tăng về bảo mật thông tin đòi hỏi các biện pháp bảo đảm an toàn thông tin (ATTT) và hệ thống văn bản pháp lý phải liên tục được nâng cấp và cập nhật. Đảm bảo an ninh, ATTT không chỉ là nhiệm vụ của các chuyên gia mà đã trở thành nhiệm vụ trọng yếu, góp phần ổn định xã hội và thúc đẩy sự phát triển bền vững của đất nước. Trước tình hình an ninh mạng ngày càng phức tạp, Đảng và Nhà nước ta đã triển khai nhiều chính sách và ban hành các văn bản pháp luật quan trọng nhằm củng cố hệ thống ATTT mạng quốc gia. Bài viết này sẽ giới thiệu các văn bản pháp lý nổi bật về an ninh và ATTT được ban hành trong năm 2024 tại Việt Nam.

Bùng nổ kinh tế Internet Việt Nam, ước tính đạt 36 tỷ USD

07:00 | 02/12/2024

Theo báo cáo “Kinh tế số Đông Nam Á năm 2024” do Google - Temasek công bố, ước tính quy mô nền kinh tế Internet Việt Nam đạt 36 tỷ USD trong năm nay, tăng 16% so với năm ngoái.

Bộ Công an tiên phong, gương mẫu trong chuyển đổi số quốc gia

07:00 | 17/11/2024

Trong ba năm liên tiếp thực hiện triển khai phát triển ứng dụng dữ liệu dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), các số liệu về dịch vụ công trực tuyến hằng năm luôn tăng ở cả ba tiêu chí về số lượng dịch vụ, số lượng người dùng, tỷ lệ hồ sơ trực tuyến.