Die National Vulnerability Database (NVD) ist eine umfangreiche Sammlung von Informationen über Sicherheitslücken, einschließlich ihrer Beschreibungen, zugehörigen Referenzen und Schweregrade. Sie wird von der US-Regierung als Teil des National Institute of Standards and Technology (NIST) gepflegt und finanziert. NVD bietet eine umfassende Liste öffentlich bekannter Sicherheitsschwachstellen, die täglich aktualisiert wird, so dass Benutzer Sicherheitsschwachstellen leicht erkennen, bewerten und beheben können.
Die National Vulnerability Database setzt sich aus mehreren Komponenten zusammen, darunter das CVE-Wörterbuch (Common Vulnerabilities and Exposures), das eine Liste bekannter Sicherheitslücken enthält, der CVSS-Score, eine Schweregradbewertung, und die CPE/CPE+-Kennungen, die zur Beschreibung der anfälligen Komponente eines Systems verwendet werden.
Die Nationale Datenbank für Schwachstellen ist ein wichtiges Instrument zur Identifizierung, Bewertung und Behebung von Sicherheitslücken. Sie hilft Organisationen, über die neuesten Sicherheitsbedrohungen auf dem Laufenden zu bleiben, und bietet eine umfassende Liste aller öffentlich bekannten Sicherheitsschwachstellen und der zugehörigen Bewertungen. Anhand dieser Informationen lassen sich Prioritäten für Patches und andere Sicherheitsmaßnahmen setzen.
Die National Vulnerability Database steht der Öffentlichkeit kostenlos zur Verfügung und kann über die NIST-Website abgerufen werden. Die NVD stellt auch einen XML-Feed zur Verfügung, der für den programmatischen Zugriff auf die Daten verwendet werden kann.
Die NIST Vulnerability Severity Ratings (NVS) bieten ein objektives Maß für den Schweregrad bekannter Sicherheitslücken. Die NVS bewertet jede Schwachstelle auf einer Skala von 0 bis 10, wobei 10 die schwerwiegendste ist. NVS-Bewertungen werden verwendet, um Prioritäten für Patches und andere Sicherheitsmaßnahmen zu setzen.
Das CVE-Wörterbuch (Common Vulnerabilities and Exposures) ist eine Liste öffentlich bekannter Sicherheitslücken, die von der MITRE Corporation gepflegt wird. Die CVE-Liste wird täglich aktualisiert und bietet eine umfassende Liste aller öffentlich bekannten Sicherheitsschwachstellen.
CPE/CPE+-Kennungen werden verwendet, um die verwundbare Komponente eines Systems zu beschreiben. Sie bestehen aus einer Zeichenfolge, die die verwundbare Komponente identifiziert, einer Versionsnummer und einem Betriebssystem.
Die Nationale Datenbank für Schwachstellen ist eine umfassende Sammlung von Informationen über Sicherheitsschwachstellen. Sie bietet ein objektives Maß für den Schweregrad bekannter Sicherheitslücken, eine umfassende Liste öffentlich bekannter Sicherheitslücken und Kennungen für anfällige Komponenten. Die NVD ist eine unschätzbare Ressource für Unternehmen, die Sicherheitsschwachstellen identifizieren, bewerten und beheben wollen.
Die CVE-Datenbank ist ein Repository bekannter Sicherheitslücken und -risiken. Sie enthält Informationen über Schwachstellen in Software- und Hardwareprodukten sowie Informationen darüber, wie diese Schwachstellen beseitigt werden können. Die CVE-Datenbank wird vom US National Cybersecurity and Communications Integration Center (NCCIC) verwaltet und ist öffentlich zugänglich.
Ein CVE NIST ist eine CVE-Kennung (Common Vulnerabilities and Exposures), die vom U.S. National Institute of Standards and Technology (NIST) vergeben wird. CVE-Kennungen werden verwendet, um eine gemeinsame Referenz für öffentlich bekannte Schwachstellen in der Informationssicherheit zu schaffen.
DD steht für "Datenwörterbuch". Ein Datenwörterbuch ist eine Sammlung von Informationen über Daten, wie z. B. deren Bedeutung, Beziehungen zu anderen Daten, Herkunft und Verwendung. Ein Datenwörterbuch kann dazu beitragen, die Genauigkeit und Konsistenz von Daten in einem Unternehmen sicherzustellen.
Die National Vulnerability Database (NVD) ist ein Repository mit standardbasierten Schwachstellendaten, die über das Security Content Automation Protocol (SCAP) dargestellt werden. Diese Daten ermöglichen die Automatisierung von Schwachstellenmanagement, Sicherheitsmessung und Compliance. Mit Stand vom September 2019 enthält die NVD über 129.000 Schwachstellen.
Die vier Haupttypen von Sicherheitslücken sind:
1. Ungepatchte Software-Schwachstellen - Auch als "Zero-Day"-Schwachstellen bekannt, sind dies Sicherheitslücken in Software, die von den Entwicklern der Software noch nicht entdeckt oder gepatcht wurden. Angreifer können diese Schwachstellen ausnutzen, um sich Zugang zu Systemen oder Daten zu verschaffen oder Denial-of-Service-Angriffe (DoS) durchzuführen.
2. unsichere Netzwerkprotokolle - Protokolle sind die Regeln, die festlegen, wie Computer miteinander kommunizieren. Einige Protokolle sind veraltet und haben bekannte Sicherheitsschwachstellen, die von Angreifern ausgenutzt werden können.
3. schwache Passwörter - Passwörter sind oft die erste Verteidigungslinie gegen Angreifer. Schwache oder leicht zu erratende Passwörter können Angreifern jedoch leichten Zugang zu Systemen und Daten verschaffen.
4. Social Engineering - Bei dieser Art von Angriffen nutzen Angreifer die menschliche Interaktion, um Menschen dazu zu bringen, Informationen preiszugeben, die sie normalerweise nicht preisgeben würden, z. B. Passwörter oder Kreditkartennummern.