Slabina vs. zranitelnost a jaký je mezi nimi vztah

Slabina (weakness) a zranitelnost (vulnerability) není totéž. A byť tyto pojmy bývají dost často používány jako synonyma, znamenají oba něco trochu jiného.

Za slabinu je v informační a kybernetické bezpečnosti obecně považována jakákoliv chyba v architektuře, návrhu, kódu nebo implementaci, která může vést ke zranitelnosti přímo zneužitelné útočníkem.

Ke každé nově nalezené zranitelnosti by pak mělo být možné přiřadit konkrétní slabinu a naopak ke každé slabině by mělo být možné uvést jednu, několik či dokonce mnoho různých zranitelností.

A aby bylo možné informace o slabinách a zranitelnostech sdílet, byly postupně vytvořeny nejrůznější databáze slabin a zranitelností. Ty nejznámější jsou pak spravovány organizací MITRE.

Slabiny jsou evidovány v seznamu Common Weakness Enumeration zkr. CWE, který aktuálně čítá 716 slabin. Zranitelnosti jsou pak evidovány v seznamu Common Vulnerabilities and Exposures, zkr. CVE, který čítá více jako 100 000 zranitelností a jejich počet stále roste.

CWE má hierarchickou strukturu dle úrovně detailu uvedeného u dané slabiny a definuje de facto kategorie slabin, na které je pak možné se odkazovat prostým uvedením CWE-ID a jejím výstižným pojmenováním. CWE se pak spolu s názvem dané slabiny uvádí u CVE, v OWASP Top 10 anebo i v penetračních testech, takže je hned na první pohled zřejmé o zranitelnost jakého typu se jedná.

CVE nemá hierarchickou strukturu, ID jsou přidělovány vzestupně, tak jak jsou jednotlivými nálezci reportovány zranitelnosti v konkrétních produktech. Záznam v DB zranitelností, např. NVD by pak měl v ideálním případě obsahovat kromě CVE-ID i odpovídající CWE-ID a rovněž i její závažnost stanovenou pomocí Common Vulnerability Scoring System, zkr. CVSS, tak aby bylo možné jednotlivé zranitelnosti mezi sebou porovnávat.

CWE stejně jako CVE umožňuje hodnotit závažnost dané slabiny a používá za tímto účelem svou vlastní metodiku Common Weakness Scoring System, zkr. CWSS, které se budu věnovat příště. Ta je sice podobná CVSS, ale na rozdíl od ní nedoznala takového rozšíření a v běžné praxi se v podstatě vůbec nepoužívá.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Slabina vs. zranitelnost a jaký je mezi nimi vztah” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: