Als je een vulnerability rapport leest, kom je ze overal tegen: CVE-2024-1234, CVE-2023-44487, CVE-2021-44228. Maar wat betekent die afkorting eigenlijk, en waarom is het belangrijk om ze serieus te nemen?
CVE staat voor Common Vulnerabilities and Exposures
CVE is een wereldwijd gebruikt systeem voor het identificeren en benoemen van beveiligingskwetsbaarheden in software en hardware. Elke kwetsbaarheid krijgt een uniek nummer zodat beveiligingsonderzoekers, softwareleveranciers en IT-teams overal ter wereld over dezelfde kwetsbaarheid kunnen praten zonder verwarring. Momenteel zijn er meer dan 200.000 CVEs gepubliceerd en elke dag komen er nieuwe bij.
De CVSS-score: hoe ernstig is het?
Naast het CVE-nummer krijgt elke kwetsbaarheid een CVSS-score: een getal van 0 tot 10 dat aangeeft hoe ernstig de kwetsbaarheid is. Een score van 9 of hoger wordt als kritiek beschouwd. Een score van 7 tot 9 is hoog. Alles onder de 4 is laag. De score houdt rekening met hoe makkelijk de kwetsbaarheid te misbruiken is en hoeveel schade een aanvaller kan aanrichten.
Waarom zijn CVEs relevant voor jouw bedrijf?
Aanvallers gebruiken CVEs als werklijst. Zodra een kwetsbaarheid gepubliceerd wordt, beginnen geautomatiseerde tools het internet af te scannen op systemen die nog niet gepatcht zijn. Soms duurt het minder dan 24 uur voor de eerste aanvallen beginnen. Een vulnerability scan vergelijkt de software op jouw systemen met de CVE-database en rapporteert welke bekende kwetsbaarheden aanwezig zijn. Zo weet je precies waar je staat en wat je als eerste moet aanpakken.