漏洞数据库是收集、维护和共享有关已发现漏洞的信息的平台。MITRE 运行最大的CVE 或常见漏洞和暴露之一,并分配一个通用漏洞评分系统 (CVSS) 分数,以反映漏洞可能给您的组织带来的潜在风险。CVE 的中央列表是许多漏洞扫描程序的基础。
公共漏洞数据库的好处是它允许组织开发、优先排序和执行补丁和其他缓解措施,以纠正关键漏洞。也就是说,它们还可能导致从匆忙发布的补丁中创建额外的漏洞,这些补丁修复了第一个漏洞但又创建了另一个漏洞。
漏洞数据库中的常见漏洞列表包括:
- 初始部署失败:数据库的功能可能看起来不错,但如果没有严格的测试,漏洞可能会让攻击者渗透。糟糕的安全控制、弱密码或默认安全设置可能导致敏感材料变得可公开访问。
- SQL 注入:数据库攻击通常记录在漏洞数据库中。
- 配置错误:公司经常无法正确配置他们的云服务,使它们容易受到攻击并且经常可以公开访问。
- 审计不足:如果没有审计,就很难知道数据是否已被修改或访问。漏洞数据库已经公布了审计跟踪作为网络攻击威慑的重要性。