AdatbázisokC betűs definíciókKiberbiztonságTechnológiai rövidítések

Common Vulnerabilities and Exposures (CVE): a sérülékenységi adatbázis célja és működése

A Common Vulnerabilities and Exposures (CVE) egy nyilvános adatbázis, amely ismert biztonsági sérülékenységeket gyűjt össze. Célja, hogy segítse a szakembereket a veszélyek azonosításában és kezelésében, ezáltal növelve az informatikai rendszerek biztonságát.
ITSZÓTÁR.hu
By ITSZÓTÁR.hu
42 Min Read
Gyors betekintő

A digitális világban élve szinte elkerülhetetlen, hogy nap mint nap találkozzunk a kiberbiztonság fogalmával. A rendszerek, szoftverek és hálózatok bonyolultsága miatt a sérülékenységek, vagyis a biztonsági rések felbukkanása állandó fenyegetést jelent. Ezek a hibák, amennyiben kihasználják őket, súlyos adatvesztéshez, pénzügyi károkhoz, sőt, akár kritikus infrastruktúrák megbénításához is vezethetnek. A kiberfenyegetések folyamatosan fejlődnek, és a támadók egyre kifinomultabb módszereket alkalmaznak a rendszerekbe való behatolásra. Ebben a dinamikus és állandóan változó környezetben elengedhetetlen, hogy legyen egy megbízható és globálisan elfogadott mechanizmus a felfedezett biztonsági rések azonosítására, dokumentálására és kommunikálására. Egy ilyen rendszer nélkül a biztonsági szakemberek, fejlesztők és felhasználók képtelenek lennének hatékonyan reagálni a felmerülő veszélyekre, és a digitális infrastruktúra sebezhetősége drámaian megnőne.

Itt jön képbe a Common Vulnerabilities and Exposures (CVE), egy olyan alapvető kezdeményezés, amely kulcsszerepet játszik a globális kiberbiztonsági ökoszisztémában. A CVE nem csupán egy adatbázis, hanem egy szabványosított elnevezési rendszer, amely lehetővé teszi a biztonsági rések egységes azonosítását és leírását. Ez a rendszer biztosítja, hogy amikor egy szoftverben, hardverben vagy firmware-ben felfedeznek egy biztonsági hibát, azt egyértelműen és félreérthetetlenül lehessen hivatkozni, függetlenül attól, hogy ki fedezte fel, vagy milyen nyelven kommunikálják. A CVE azonosítók globális referenciapontként szolgálnak, megkönnyítve a biztonsági információk megosztását és a fenyegetések elleni hatékony védekezést. Ennek a cikknek a célja, hogy mélyrehatóan bemutassa a CVE rendszer működését, céljait, és azt, hogy miért nélkülözhetetlen a modern kiberbiztonsági stratégia részeként.

Mi is az a CVE? A sérülékenységi azonosító eredete és célja

A Common Vulnerabilities and Exposures (CVE) egy nemzetközileg elismert szabvány az informatikai rendszerekben található biztonsági sérülékenységek és expozíciók azonosítására. Lényegében egy egyedi azonosító, amelyet minden egyes felfedezett és publikált biztonsági hibához hozzárendelnek. Ez az azonosító lehetővé teszi, hogy a különböző biztonsági termékek, szolgáltatások és adatbázisok egységesen hivatkozzanak ugyanarra a sérülékenységre, ezzel nagymértékben megkönnyítve az információáramlást és a fenyegetések kezelését a globális kiberbiztonsági közösségben.

A CVE kezdeményezés gyökerei az 1990-es évek végére nyúlnak vissza, amikor a kiberbiztonsági fenyegetések egyre komplexebbé váltak, és a különböző gyártók, kutatók és biztonsági szakemberek eltérő módon katalogizálták és hivatkozták a sérülékenységeket. Ez a széttagoltság komoly akadályt jelentett az információk megosztásában és a hatékony reagálásban. Képzeljük el, hogy egy biztonsági tanácsadó felfedez egy rést egy szoftverben, és a gyártó is tud róla, de a két fél eltérő terminológiát használ, vagy eltérő módon hivatkozik ugyanarra a problémára. Ez a kommunikációs szakadék késleltetheti a javításokat és növelheti a rendszerek kitettségét.

A problémára válaszul a MITRE Corporation – egy non-profit szervezet, amely az amerikai kormány számára végez kutatást és fejlesztést – indította el a CVE kezdeményezést 1999-ben. A cél egy olyan szabványosított, ingyenesen hozzáférhető és nyílt rendszer létrehozása volt, amely egységes azonosítókat biztosít a biztonsági rések számára. A CVE nem maga a sérülékenység leírása, sokkal inkább egy indexáló rendszer, amely egyedi nevet ad minden egyes ismert biztonsági problémának. Ez az azonosító aztán referenciaként szolgálhat a részletesebb információkhoz, például a sérülékenység természetéhez, a hatásához és a javítási lehetőségekhez.

A CVE alapvető célja, hogy hidat építsen a különböző biztonsági adatbázisok, eszközök és szolgáltatások között. Egy CVE azonosító segítségével a biztonsági elemzők, rendszergazdák, fejlesztők és végfelhasználók egyaránt gyorsan és pontosan azonosíthatják a releváns sérülékenységeket, és hozzáférhetnek a szükséges információkhoz. Ez felgyorsítja a reagálási időt, javítja a javítási folyamatokat és végső soron növeli a digitális infrastruktúra általános biztonsági szintjét.

„A CVE rendszer nem oldja meg a sérülékenységeket, hanem egy közös nyelvet biztosít a róluk való kommunikációhoz, ezzel felgyorsítva a védekezési folyamatokat.”

A CVE azonosító nem tartalmazza magát a sérülékenység részletes leírását, hanem pusztán egy egyedi hivatkozásként szolgál. A részletes technikai információkat, a sérülékenység típusát, a hatását, a sebezhető szoftververziókat és a lehetséges megoldásokat más adatbázisok, például a National Vulnerability Database (NVD) vagy a gyártók saját biztonsági közleményei tartalmazzák. A CVE az azonosító, amely összeköti ezeket a különböző forrásokat, biztosítva a koherenciát és az átjárhatóságot a kiberbiztonsági információk között.

Fontos megérteni, hogy a CVE azonosító kiosztása nem jelenti azt, hogy a sérülékenységet már ki is javították. Csupán azt jelzi, hogy a problémát azonosították, és egyedi hivatkozást kapott. A javítás, vagyis a „patch” kiadása a szoftvergyártó felelőssége, és gyakran időbe telik, amíg a javítás elkészül, tesztelik és eljut a felhasználókhoz. A CVE rendszer azonban kulcsfontosságú abban, hogy a felhasználók és a rendszergazdák tudomást szerezzenek a problémáról, és felkészülhessenek a javítás telepítésére, vagy ideiglenes enyhítő intézkedéseket tehessenek.

A CVE azonosító felépítése és jelentősége

A CVE azonosító egy rendkívül strukturált és könnyen felismerhető formátumot követ, amely lehetővé teszi az egyértelmű azonosítást. Minden egyes CVE azonosító a következőképpen épül fel: CVE-ÉÉÉÉ-XXXXX. Bontsuk le ezt a struktúrát, hogy megértsük, mit is jelent az egyes része.

Az „CVE” prefix egyértelműen jelzi, hogy egy Common Vulnerabilities and Exposures azonosítóról van szó. Ez a három betű biztosítja, hogy a hivatkozás azonnal értelmezhető legyen a kiberbiztonsági kontextusban, és megkülönböztesse más típusú azonosítóktól, például a Common Weakness Enumeration (CWE) vagy a Common Platform Enumeration (CPE) azonosítóktól.

Az „ÉÉÉÉ” rész az a négyjegyű évszám, amelyben a CVE azonosítót kiosztották. Ez az évszám nem feltétlenül azonos a sérülékenység felfedezésének vagy nyilvánosságra hozatalának évével, hanem azt az évet jelöli, amikor az azonosítót hivatalosan is bejegyezték a CVE rendszerbe. Például, ha egy sérülékenységet 2022-ben fedeztek fel, de az azonosítót csak 2023 elején osztották ki, akkor az „ÉÉÉÉ” rész 2023 lesz. Ez a dátum segít a kronológiai rendszerezésben és a sérülékenységek időbeli nyomon követésében.

Az „XXXXX” rész egy változó hosszúságú számsorozat, amely az adott éven belül egyedileg azonosítja a sérülékenységet. Kezdetben ez a számsorozat négyjegyű volt (pl. CVE-2002-0001), de ahogy a felfedezett sérülékenységek száma exponenciálisan növekedett, a számsorozat hossza is bővült. Ma már gyakoriak az ötjegyű, vagy akár annál is hosszabb számsorozatok (pl. CVE-2023-12345). Ez a számsorozat biztosítja a sérülékenység egyediségét az adott éven belül, garantálva, hogy minden felfedezett hiba saját, megkülönböztethető azonosítót kapjon.

Például, a CVE-2021-44228 azonosító egy rendkívül híres és kritikus sérülékenységre utal, amelyet 2021-ben regisztráltak, és az adott évben a 44228-as egyedi sorszámot kapta. Ez a sérülékenység, ismertebb nevén a Log4Shell, a Java alapú Log4j naplózó könyvtárban található, és hatalmas globális kiberbiztonsági riadalmat okozott a széleskörű elterjedtsége és a könnyű kihasználhatósága miatt. Az azonosító segítségével a biztonsági közösség azonnal tudta, melyik konkrét problémáról van szó, és gyorsan megkezdődhetett a védekezés koordinálása.

A CVE azonosító jelentősége túlmutat a puszta azonosításon. Ez egy közös referencia pont, amely lehetővé teszi a biztonsági információk zökkenőmentes cseréjét a gyártók, kutatók, kormányzati szervek és végfelhasználók között. Nélküle minden szervezet a saját belső azonosítórendszerét használná, ami káoszhoz vezetne, és gátolná a hatékony együttműködést a kiberfenyegetések elleni küzdelemben.

A CVE azonosítók a kiberbiztonsági információk DNS-eként funkcionálnak, mindenki számára érthető és egyértelmű hivatkozási pontot biztosítva.

A CVE azonosítók használata standardizálja a biztonsági tanácsadásokat, a biztonsági frissítéseket, a sérülékenység-vizsgálati jelentéseket és a fenyegetésfelderítési információkat. Amikor egy szoftverfrissítés megjelenik, gyakran hivatkozik egy vagy több CVE azonosítóra, jelezve, hogy mely konkrét biztonsági réseket orvosolja. Ez lehetővé teszi a felhasználók számára, hogy pontosan tudják, milyen kockázatokat minimalizál a frissítés telepítése, és segíti a prioritások felállítását a javítások alkalmazásakor.

Összességében a CVE azonosító egy egyszerű, mégis rendkívül hatékony eszköz, amely a kiberbiztonsági közösség alapkövévé vált. A standardizált formátum, az egyediség és a globális elfogadottság teszi lehetővé, hogy a digitális világban felmerülő számtalan sérülékenység kezelhető és nyomon követhető legyen, hozzájárulva ezzel egy biztonságosabb online környezet kialakításához.

A CVE életciklusa: a sérülékenység felfedezésétől a publikálásig

A CVE azonosító kiosztásának és egy sérülékenység nyilvánosságra hozatalának folyamata egy jól meghatározott életciklust követ, amely több szereplőt is magában foglal. Ez a folyamat biztosítja, hogy a sérülékenységeket felelősségteljesen kezeljék, és a releváns információk időben eljussanak a megfelelő felekhez. A cél a felhasználók védelme, miközben minimalizálják a támadók számára nyújtott információkat, mielőtt a javítások elérhetővé válnának.

Sérülékenység felfedezése és jelentése

A CVE életciklusának első lépése a sérülékenység felfedezése. Ez történhet számos módon: egy szoftverfejlesztő belső tesztelés során találhatja meg, egy független biztonsági kutató etikus hackelés keretében fedezheti fel, egy automatizált sérülékenység-vizsgáló eszköz jelezheti, vagy akár egy rosszindulatú támadó is kihasználhatja, mielőtt a gyártó tudomást szerezne róla (ún. zero-day sérülékenység). A felelősségteljes felfedezők általában a gyártónak jelentik a problémát, mielőtt nyilvánosságra hoznák, hogy időt adjanak a javítás elkészítésére. Ezt a gyakorlatot felelősségteljes nyilvánosságra hozatalnak (responsible disclosure) nevezik.

Amikor egy sérülékenységet jelentenek, a gyártó vagy a kutató kapcsolatba léphet egy CVE Numbering Authority (CNA) szervezettel, hogy CVE azonosítót kérjen a felfedezett hibához. Ez a lépés kulcsfontosságú, mivel a CNA-k felelősek a CVE azonosítók kiosztásáért és az elsődleges információk összegyűjtéséért.

A CVE Numbering Authority (CNA) szerepe

A CVE Numbering Authority (CNA) program a CVE rendszer gerincét képezi. A CNA-k olyan szervezetek (szoftvergyártók, kutatóintézetek, biztonsági cégek, nemzeti CERT-ek), amelyek jogosultak CVE azonosítók kiosztására a saját termékeikben vagy az általuk vizsgált szoftverekben talált sérülékenységekhez. A MITRE Corporation, mint a CVE program irányítója, felügyeli a CNA programot, de nem osztja ki az összes azonosítót. Ehelyett delegálja ezt a feladatot a CNA-kra, hogy felgyorsítsa a folyamatot és szélesebb körű lefedettséget biztosítson.

Jelenleg több mint 300 CNA működik világszerte, köztük olyan óriások, mint a Microsoft, Google, Apple, Red Hat, Oracle, de számos kisebb szoftvercég, biztonsági kutatócsoport és országos CERT (Computer Emergency Response Team) is. Ez a decentralizált modell biztosítja, hogy a sérülékenységek azonosítása és kezelése gyorsabb és hatékonyabb legyen, mivel a gyártók közvetlenül kioszthatják az azonosítókat a saját termékeikhez, anélkül, hogy egy központi szervre kellene várniuk.

A CNA-k feladatai a következők:

  • CVE azonosítók kiosztása: Amikor egy sérülékenységet jelentenek nekik, a CNA dönt arról, hogy az megfelel-e a CVE kritériumoknak (pl. valóban biztonsági hiba, egyértelműen azonosítható, nem duplikált). Ha igen, kiosztanak egy egyedi CVE azonosítót.
  • Információgyűjtés és validálás: A CNA gyűjti és validálja a sérülékenységgel kapcsolatos alapvető információkat, mint például a sebezhető termék(ek), a hiba típusa, a potenciális hatás és az esetleges enyhítő intézkedések.
  • Publikálás: Miután a javítás (patch) elérhetővé vált, vagy egy előre meghatározott idő eltelt, a CNA publikálja a CVE azonosítót a kapcsolódó információkkal együtt a MITRE CVE weboldalán, és gyakran a National Vulnerability Database (NVD) adatbázisában is.

A CVE azonosító kiosztása és státuszai

A CVE azonosító a kiosztási folyamat során különböző státuszokon megy keresztül:

  1. RESERVED (Fenntartott): Ez az első státusz, amikor egy CNA azonosítót kér a MITRE-től, vagy saját maga kioszt egy blokkot. Ekkor még csak egy számsorozat van fenntartva a sérülékenység számára, de a nyilvános adatbázisokban még nem jelenik meg információ róla. Ez a státusz lehetővé teszi a gyártónak, hogy csendben dolgozzon a javításon, mielőtt a probléma nyilvánosságra kerülne.
  2. ASSIGNED (Kiosztott): Amikor a CNA rendelkezik elegendő információval a sérülékenységről, és megkezdődik a javítási folyamat, az azonosító megkapja az ASSIGNED státuszt. Ekkor még mindig nem feltétlenül publikus, de a CNA már aktívan kezeli az ügyet.
  3. PUBLISHED (Publikált): Ez az a státusz, amikor a CVE azonosító és a hozzá tartozó alapvető információk nyilvánosan elérhetővé válnak a MITRE CVE weboldalán és más adatbázisokban. Általában ez akkor történik meg, amikor a gyártó már kiadott egy javítást, vagy amikor a felelősségteljes nyilvánosságra hozatali időszak lejárt. Ebben a fázisban a biztonsági közösség már hozzáférhet az információkhoz, és megkezdheti a rendszerek javítását.

A státuszok nyomon követése kulcsfontosságú, mivel jelzi, hogy a sérülékenység milyen fázisban van, és milyen mértékben érhető el róla információ a nyilvánosság számára. A PUBLISHED státusz jelzi, hogy cselekvésre van szükség a sebezhető rendszerek tulajdonosai részéről.

Információgyűjtés és validálás

Miután egy CVE azonosítót kiosztottak, a CNA feladata, hogy összegyűjtse és validálja a sérülékenységgel kapcsolatos alapvető információkat. Ez magában foglalja a következőket:

  • A sebezhető termék(ek) és verziók: Pontos azonosítása annak, hogy mely szoftverek, hardverek vagy firmware-ek érintettek.
  • A sérülékenység típusa: Például puffer túlcsordulás, SQL injekció, keresztoldali szkriptelés (XSS), engedélyeszkaláció stb. Erre gyakran a Common Weakness Enumeration (CWE) azonosítók is hivatkoznak.
  • A potenciális hatás: Milyen következményekkel járhat a sérülékenység kihasználása (pl. távoli kódfuttatás, adatlopás, szolgáltatásmegtagadás).
  • Referenciák: Linkek a gyártó biztonsági közleményeihez, biztonsági kutatók blogbejegyzéseihez, javításokhoz és más releváns forrásokhoz.

Ez az információgyűjtés segít a felhasználóknak megérteni a sérülékenység természetét és a kockázatokat, amelyeknek ki vannak téve.

Publikálás és adatbázisok

Amikor minden szükséges információ rendelkezésre áll, és a javítás is elérhető, a CNA publikálja a CVE azonosítót. Ez a publikáció a MITRE CVE weboldalán történik, és az információk gyakran szinkronizálódnak más nagy sérülékenységi adatbázisokkal is, mint például a már említett National Vulnerability Database (NVD). Az NVD hozzáadja a saját elemzését, beleértve a Common Vulnerability Scoring System (CVSS) pontszámokat, amelyek objektíven értékelik a sérülékenység súlyosságát.

A CVE életciklusa tehát egy alaposan kidolgozott folyamat, amely a sérülékenység felfedezésétől a nyilvános közzétételéig vezeti a biztonsági hibát. Ez a struktúra biztosítja a felelősségteljes és hatékony kezelést, lehetővé téve a globális kiberbiztonsági közösség számára, hogy gyorsan reagáljon az új fenyegetésekre és megvédje a digitális infrastruktúrát.

A CVE adatbázisok és kapcsolódó rendszerek: NVD, CVSS, CPE, CWE

Az NVD részletes CVSS pontszámokkal támogatja a CVE-ket.
A CVE adatbázis mellett az NVD részletes kockázatértékelést, a CVSS pedig sérülékenységi pontszámot biztosít.

Bár a CVE azonosító a sérülékenységek egyedi nevének szabványosítására szolgál, önmagában nem nyújt elegendő információt a hatékony kockázatkezeléshez. A teljes képhez szükség van olyan kiegészítő rendszerekre és adatbázisokra, amelyek részletes technikai leírást, súlyossági pontszámokat és kontextuális információkat biztosítanak. A legfontosabb ilyen kiegészítő a National Vulnerability Database (NVD), valamint a Common Vulnerability Scoring System (CVSS), a Common Platform Enumeration (CPE) és a Common Weakness Enumeration (CWE).

A MITRE CVE weboldala

A MITRE CVE weboldala (cve.mitre.org) az elsődleges forrás a CVE azonosítók és az alapvető információk eléréséhez. Ez a weboldal az összes publikált CVE azonosítót listázza, és minden egyes bejegyzéshez tartozik egy rövid leírás, a felfedező neve, a gyártó, és a kapcsolódó referenciák listája. Ez egy egyszerű, de hatékony kereshető adatbázis, amely lehetővé teszi a felhasználók számára, hogy gyorsan megtalálják a releváns CVE-ket.

Fontos megjegyezni, hogy a MITRE CVE adatbázisa viszonylag minimalista. Nem tartalmazza a sérülékenységek részletes technikai elemzését, a CVSS pontszámokat, vagy a javítási útmutatókat. Ezeket az információkat a kapcsolódó rendszerek, különösen az NVD, szolgáltatják.

A National Vulnerability Database (NVD) szerepe

A National Vulnerability Database (NVD) az Egyesült Államok kormányának által fenntartott, nyilvánosan elérhető sérülékenységi adatbázisa, amelyet a National Institute of Standards and Technology (NIST) kezel. Az NVD a MITRE CVE listáit veszi alapul, és jelentősen kibővíti azokat, részletesebb és strukturáltabb információkkal. Gyakorlatilag az NVD a CVE rendszer „gazdagított” és „kontextualizált” változata.

Az NVD minden CVE azonosítóhoz a következő kiegészítő információkat biztosítja:

  • Részletes technikai leírás: Bővebb magyarázat a sérülékenység természetéről, a kihasználás módjáról és a potenciális hatásokról.
  • CVSS pontszámok: Egy objektív, számszerűsített értékelés a sérülékenység súlyosságáról.
  • CPE adatok: Részletes információk a sebezhető termékekről és platformokról, szabványosított formátumban.
  • CWE hivatkozások: Kapcsolódó Common Weakness Enumeration azonosítók, amelyek a hiba gyökérokát írják le.
  • Referenciák: Kiterjedtebb lista a gyártói közleményekhez, biztonsági tanácsadásokhoz és kutatási jelentésekhez.

Az NVD kulcsfontosságú a kockázatértékelésben és a patch managementben, mivel a részletes adatok lehetővé teszik a szervezetek számára, hogy hatékonyabban priorizálják a javításokat és kezeljék a biztonsági kockázatokat.

Common Vulnerability Scoring System (CVSS)

A Common Vulnerability Scoring System (CVSS) egy nyílt, ipari szabvány a szoftveres sérülékenységek súlyosságának értékelésére. A CVSS pontszám egy 0 és 10 közötti szám, ahol a 10 a legsúlyosabb sérülékenységet jelöli. Ez a rendszer lehetővé teszi a biztonsági szakemberek számára, hogy objektíven összehasonlítsák a különböző sérülékenységeket és prioritásokat állítsanak fel a javításukra.

A CVSS három fő metrikacsoportot használ:

  1. Alap metrikák (Base Metrics): Ezek a sérülékenység inherens tulajdonságait írják le, függetlenül az időtől és a környezettől. Ide tartozik a támadás komplexitása (Attack Complexity), a szükséges jogosultságok (Privileges Required), a felhasználói interakció szükségessége (User Interaction), valamint a bizalmasság (Confidentiality), integritás (Integrity) és rendelkezésre állás (Availability) hatása.
  2. Időbeli metrikák (Temporal Metrics): Ezek a sérülékenység állapotát írják le az idő függvényében, például, hogy elérhető-e már exploit kód (Exploit Code Maturity), van-e már hivatalos javítás (Remediation Level), vagy mennyire megbízható a sérülékenységről szóló jelentés (Report Confidence).
  3. Környezeti metrikák (Environmental Metrics): Ezek a sérülékenység hatását írják le egy adott szervezet környezetében, figyelembe véve a sérülékeny rendszer fontosságát és a biztonsági követelményeket.

A CVSS folyamatosan fejlődik, jelenleg a CVSS v3.1 a legelterjedtebb, de már létezik a CVSS v4.0 is, amely további finomításokat és pontosításokat tartalmaz. A CVSS pontszámok értelmezése a következő kategóriákba sorolható:

CVSS Pontszám Súlyosság
0.0 Nincs
0.1 – 3.9 Alacsony
4.0 – 6.9 Közepes
7.0 – 8.9 Magas
9.0 – 10.0 Kritikus

A CVSS pontszámok kritikusak a kockázatértékelésben, mivel segítenek a szervezeteknek abban, hogy a legkritikusabb sérülékenységekre összpontosítsák erőforrásaikat.

Common Platform Enumeration (CPE)

A Common Platform Enumeration (CPE) egy szabványos elnevezési rendszer az informatikai rendszerekben található hardverek, operációs rendszerek és alkalmazások azonosítására. A CPE egy strukturált formátumban írja le a termékeket, lehetővé téve az automatizált összehasonlítást és a sérülékenység-vizsgálatok pontosságát. Például egy CPE azonosító a következőképpen nézhet ki: cpe:/o:linux:linux_kernel:5.15, amely egyértelműen azonosítja a Linux kernel 5.15-ös verzióját.

Az NVD adatbázisában minden CVE-hez CPE azonosítók tartoznak, amelyek pontosan megmondják, mely termékek és verziók sebezhetőek. Ez elengedhetetlen a szoftveres függőségek kezeléséhez és a pontos patch managementhez.

Common Weakness Enumeration (CWE)

A Common Weakness Enumeration (CWE) egy strukturált lista a szoftverek és hardverek tervezésében, fejlesztésében és implementációjában előforduló gyakori hibákról. A CWE nem egyedi sérülékenységeket azonosít (mint a CVE), hanem általános hibaosztályokat, amelyek sérülékenységekhez vezethetnek. Például egy CVE azonosító egy konkrét puffer túlcsordulásra utalhat egy adott szoftverben, míg a CWE-119 az általános „nem megfelelő pufferkezelés” kategóriát írja le.

A CWE célja, hogy segítse a fejlesztőket a biztonságos kódolási gyakorlatok elsajátításában, a biztonsági elemzőket a sérülékenységek osztályozásában, és a biztonsági eszközöket a hibák felismerésében. Az NVD-ben a CVE bejegyzések gyakran tartalmaznak hivatkozásokat a releváns CWE-kre, segítve ezzel a gyökérok elemzését és a megelőző intézkedések kidolgozását.

Ezek a kiegészítő rendszerek együttesen biztosítják a CVE rendszer teljes erejét. A CVE az azonosító, az NVD a részletes elemző platform, a CVSS a súlyosságmérő, a CPE a termékazonosító, a CWE pedig a hibaosztályozó. Együtt alkotnak egy átfogó keretrendszert a kiberbiztonsági fenyegetések megértéséhez és kezeléséhez.

A CVE jelentősége a kiberbiztonságban: miért nélkülözhetetlen?

A CVE rendszer nem csupán egy technikai eszköz, hanem a modern kiberbiztonsági stratégia egyik alapköve. Jelentősége messze túlmutat a puszta sérülékenység-azonosításon, és számos szereplő számára nyújt kulcsfontosságú előnyöket a digitális ökoszisztémában. A CVE nélkül a kiberbiztonsági táj sokkal kaotikusabb és kevésbé kezelhető lenne, ami jelentősen növelné a kockázatokat.

Rendszergazdák és biztonsági szakemberek számára

A rendszergazdák és biztonsági szakemberek számára a CVE azonosítók a mindennapi munkájuk szerves részét képezik. Ezek a hivatkozások biztosítják a szükséges információkat a rendszerek biztonságának fenntartásához és a fenyegetések elleni védekezéshez.

  • Patch management (foltkezelés) és frissítések prioritizálása: A CVE azonosítók segítségével a rendszergazdák gyorsan azonosíthatják, hogy mely szoftverfrissítések mely konkrét biztonsági réseket orvosolják. A CVSS pontszámokkal kiegészítve lehetővé válik a javítások prioritizálása, először a kritikus, magas súlyosságú sérülékenységeket orvosolva. Ez különösen fontos nagy és komplex IT-környezetekben, ahol naponta több tucat frissítés is megjelenhet. A CVE egyértelműen jelzi, hogy mely frissítésre van sürgősen szükség.
  • Kockázatértékelés és sebezhetőség-vizsgálat: A sérülékenység-vizsgáló eszközök (vulnerability scanners) széles körben használják a CVE adatbázisokat a rendszerekben található ismert hibák felderítésére. A szkennerek CVE azonosítókkal ellátott jelentéseket készítenek, amelyek alapján a biztonsági szakemberek felmérhetik a kockázatokat és megtervezhetik a szükséges intézkedéseket. A CVE-k referenciapontként szolgálnak a kockázatértékelési folyamatban, segítve a valós fenyegetések azonosítását.
  • Biztonsági auditok és megfelelőség: Számos iparági szabvány és szabályozás (pl. ISO 27001, PCI DSS, GDPR) megköveteli a sérülékenységek rendszeres kezelését és dokumentálását. A CVE azonosítók standardizált módon teszik lehetővé ezeknek a folyamatoknak a nyomon követését és a megfelelőség igazolását. Az auditok során a CVE-k segítenek bemutatni, hogy a szervezet proaktívan kezeli a biztonsági réseket.
  • Incidensreagálás: Egy biztonsági incidens esetén a CVE azonosítók segíthetnek gyorsan azonosítani a kihasznált sérülékenységet, felgyorsítva ezzel a reagálási időt és minimalizálva a károkat. Ha egy támadás során egy specifikus CVE-hez tartozó exploitot használtak fel, az incidensreagáló csapat azonnal tudja, milyen intézkedéseket kell tennie a további károk megakadályozására és a rendszer helyreállítására.

Szoftverfejlesztők számára

A szoftverfejlesztők is profitálnak a CVE rendszerből, különösen a biztonságos fejlesztési életciklus (SDLC) során.

  • Biztonságos kódolási gyakorlatok: A CWE (Common Weakness Enumeration) hivatkozásokkal együtt a CVE-k segítenek a fejlesztőknek megérteni a sérülékenységek gyökérokait, és elkerülni hasonló hibák bevezetését a jövőbeni kódokban. A tanulás a korábbi hibákból kulcsfontosságú a biztonságos szoftverek létrehozásához.
  • Függőségek kezelése: A modern szoftverek gyakran támaszkodnak külső könyvtárakra és komponensekre. A CVE azonosítók lehetővé teszik a fejlesztők számára, hogy nyomon kövessék az ezekben a függőségekben található sérülékenységeket, és időben frissítsék vagy cseréljék a sebezhető komponenseket. Az Software Bill of Materials (SBOM) egyre inkább elterjed, amely listázza az összes komponenst, és a CVE-k integrálásával átfogó képet ad a szoftverellátási lánc biztonságáról.
  • Termékbiztonság és hírnév: A gyártók számára elengedhetetlen, hogy gyorsan reagáljanak a felfedezett sérülékenységekre. A CVE azonosítók használata és a felelősségteljes nyilvánosságra hozatali folyamatban való részvétel javítja a cég hírnevét és növeli az ügyfelek bizalmát. Egy proaktív biztonsági megközelítés létfontosságú a digitális piacon.

Vállalatok és szervezetek számára

Vállalati szinten a CVE-k stratégiai jelentőséggel bírnak a teljes kiberbiztonsági pozíció megerősítésében.

  • Biztonsági stratégiák kialakítása: A CVE adatok elemzése segíti a vállalatokat abban, hogy felmérjék a kockázati profiljukat, és olyan biztonsági stratégiákat dolgozzanak ki, amelyek a legrelevánsabb fenyegetésekre összpontosítanak. Ez magában foglalja a befektetéseket a biztonsági eszközökbe, a folyamatokba és a személyzet képzésébe.
  • Üzletmenet folytonosság: A sérülékenységek időben történő azonosítása és orvoslása minimalizálja az üzleti folyamatok megszakadásának kockázatát, amelyet egy sikeres támadás okozhat. Az üzletmenet folytonosságának biztosítása kritikus a mai gazdasági környezetben.
  • Jogi és szabályozási megfelelőség: A CVE-k segítenek a vállalatoknak megfelelni a különböző jogi és szabályozási követelményeknek, amelyek a személyes adatok védelmére és az informatikai rendszerek biztonságára vonatkoznak. A megfelelőségi auditok során a CVE adatok bizonyítékként szolgálhatnak a proaktív biztonsági intézkedésekre.

A CVE nem egy megoldás, hanem egy eszköz, amely lehetővé teszi a biztonsági közösség számára, hogy egységesen beszéljen a problémákról, és hatékonyan dolgozzon a megoldásokon.

Összefoglalva, a CVE egy globálisan elfogadott szabvány, amely lehetővé teszi a kiberbiztonsági információk hatékony cseréjét és felhasználását. Ez az egységesítés felgyorsítja a reagálási időt, javítja a kockázatkezelést, és hozzájárul egy sokkal biztonságosabb digitális környezet kialakításához mindenki számára, a végfelhasználóktól a multinacionális vállalatokig.

A CVE kihívásai és korlátai: árnyoldalak és fejlesztési irányok

Bár a CVE rendszer vitathatatlanul alapvető fontosságú a kiberbiztonsági ökoszisztémában, nem mentes a kihívásoktól és korlátoktól. Mint minden komplex rendszer, a CVE is szembesül olyan problémákkal, amelyek befolyásolhatják hatékonyságát és pontosságát. Ezen kihívások megértése kulcsfontosságú a rendszer jobb kihasználásához és a jövőbeli fejlesztések irányának meghatározásához.

Információk teljessége és pontossága

A CVE azonosító önmagában csak egy hivatkozás, és a hozzá tartozó információk teljessége és pontossága nagymértékben függ a CNA-k által szolgáltatott adatok minőségétől. Előfordulhat, hogy egy CVE bejegyzés kezdetben hiányos, vagy nem tartalmazza az összes releváns részletet a sérülékenységről, a sebezhető verziókról, vagy a javítási lehetőségekről. Ez késedelmet okozhat a javítási folyamatban, és potenciálisan növelheti a rendszerek kitettségét.

A folyamatosan fejlődő szoftverek és a komplex függőségek miatt nehéz lehet minden érintett terméket és verziót pontosan azonosítani. Néha a gyártók sem rendelkeznek azonnal minden információval, ami további pontatlanságokhoz vezethet a kezdeti CVE bejegyzésekben. Az NVD-nek és más adatbázisoknak komoly munkát kell fektetniük az információk kiegészítésébe és validálásába.

Időbeli késés a felfedezés és a publikálás között

A felelősségteljes nyilvánosságra hozatali (responsible disclosure) gyakorlat, bár alapvetően pozitív, gyakran jelentős időbeli késést okoz a sérülékenység felfedezése és a CVE azonosító publikálása között. Ez az időszak szükséges a gyártó számára, hogy elkészítse és tesztelje a javítást. Ezalatt az idő alatt a sérülékenység ismert lehet bizonyos körökben (pl. támadók), de a szélesebb biztonsági közösség még nem tud róla.

Ez a „sötét időszak” (window of vulnerability) különösen aggasztó, ha a sérülékenység kritikus, és aktívan kihasználják (zero-day exploit). Bár a folyamat célja a felhasználók védelme, a késedelem óhatatlanul kockázatot hordoz magában, hiszen egy aktívan kihasznált sérülékenység ellen csak akkor lehet védekezni, ha publikussá válik, és elérhető a javítás.

A CVE azonosító nem megoldás, hanem eszköz

Fontos hangsúlyozni, hogy a CVE azonosító önmagában nem old meg semmilyen biztonsági problémát. Csupán egy címke, egy hivatkozás. A tényleges védekezéshez a rendszerek tulajdonosainak és a biztonsági szakembereknek aktívan használniuk kell ezeket az azonosítókat a javítások telepítésére, a kockázatok felmérésére és a biztonsági intézkedések bevezetésére. Egy szervezet, amely nem követi nyomon a CVE-ket, és nem reagál rájuk, ugyanolyan sebezhető marad, mintha nem is létezne a rendszer.

A „zero-day” sérülékenységek problémája

A zero-day sérülékenységek, azaz azok a biztonsági rések, amelyekről a gyártó és a szélesebb biztonsági közösség még nem tud, de már aktívan kihasználnak, komoly kihívást jelentenek a CVE rendszer számára. Mivel ezekről a hibákról még nincs nyilvános információ, természetesen nincs hozzájuk rendelt CVE azonosító sem. Ez azt jelenti, hogy a hagyományos CVE-alapú védekezési mechanizmusok (pl. patch management, sérülékenység-vizsgálat) tehetetlenek velük szemben, amíg a sérülékenységet fel nem fedezik, és nem kap CVE azonosítót.

A zero-day támadások elleni védekezéshez fejlettebb biztonsági megoldásokra van szükség, mint például viselkedésalapú észlelés, mesterséges intelligencia alapú fenyegetésfelderítés, és proaktív fenyegetésvadászat. A CVE rendszer inkább a már ismert és publikált sérülékenységek hatékony kezelésére szolgál.

Túl sok azonosító, túl kevés erőforrás

A felfedezett sérülékenységek száma exponenciálisan növekszik évről évre. Ez azt jelenti, hogy a biztonsági szakembereknek egyre több CVE azonosítót kell nyomon követniük és kezelniük. Különösen a kisebb szervezetek számára, korlátozott erőforrásokkal, ez a feladat overwhelming lehet. A rengeteg információ közötti navigálás, a releváns sérülékenységek azonosítása és a javítások prioritizálása komoly kihívást jelent.

Ez a probléma rávilágít az automatizált eszközök, mint a sérülékenység-vizsgálók és a patch management rendszerek fontosságára, amelyek segíthetnek a terhek csökkentésében. Azonban még az automatizált rendszerek is igénylik az emberi felügyeletet és a döntéshozatalt.

A kontextus hiánya

Bár az NVD és a CVSS kiegészíti a CVE-t, még mindig előfordulhat, hogy hiányzik a specifikus üzleti kontextus. Egy magas CVSS pontszámú sérülékenység nem feltétlenül jelenti azt, hogy az az adott szervezet számára a legnagyobb kockázatot jelenti, ha a sebezhető rendszer nem kritikus, vagy ha a támadás végrehajtása rendkívül nehéz az adott környezetben. A kontextus hiánya miatt a szervezeteknek saját kockázatértékelést kell végezniük, hogy a CVE információkat a saját egyedi helyzetükre adaptálják.

A CVE rendszer folyamatosan fejlődik, és a MITRE, a CNA-k és a szélesebb biztonsági közösség együtt dolgozik a fenti kihívások kezelésén. A jövőbeli fejlesztések valószínűleg a jobb automatizálásra, az információk pontosabb és gyorsabb terjesztésére, valamint a kontextuális információk integrálására fognak összpontosítani, hogy a CVE még hatékonyabb eszközzé válhasson a kiberbiztonsági védekezésben.

Hogyan használjuk hatékonyan a CVE-t a gyakorlatban?

A CVE rendszer ereje abban rejlik, hogy a biztonsági szakemberek és szervezetek hogyan integrálják azt a mindennapi működésükbe. A puszta ismeret nem elegendő; aktív és proaktív megközelítésre van szükség a CVE-k hatékony kihasználásához. Íme néhány kulcsfontosságú gyakorlat, amelyek segítségével maximalizálható a CVE adatokból származó érték.

Rendszeres frissítések és monitorozás

A legfontosabb lépés a rendszeres frissítések és monitorozás bevezetése. Ez magában foglalja az operációs rendszerek, alkalmazások, hálózati eszközök és egyéb szoftverek folyamatos naprakészen tartását. A gyártók gyakran adnak ki biztonsági frissítéseket, amelyek CVE azonosítókra hivatkoznak. Ezeknek a frissítéseknek az azonnali telepítése kritikus a sérülékenységek orvoslásához, mielőtt a támadók kihasználhatnák azokat.

Emellett a biztonsági csapatoknak rendszeresen figyelniük kell a CVE és NVD adatbázisokat, valamint a gyártók biztonsági közleményeit. Ehhez feliratkozhatnak értesítésekre, vagy használhatnak automatizált RSS feedeket, hogy azonnal értesüljenek az újonnan publikált sérülékenységekről. A proaktív monitorozás lehetővé teszi a gyors reagálást és a potenciális fenyegetések korai azonosítását.

Automatizált eszközök használata

A sérülékenységek hatalmas száma miatt manuálisan szinte lehetetlen mindent nyomon követni. Itt jönnek képbe az automatizált biztonsági eszközök:

  • Sérülékenység-vizsgálók (Vulnerability Scanners): Ezek az eszközök automatikusan átvizsgálják a hálózatokat és rendszereket ismert CVE-k után kutatva. Jelentéseket készítenek a talált sérülékenységekről, gyakran CVSS pontszámokkal és javítási javaslatokkal együtt. A rendszeres szkennelés elengedhetetlen a biztonsági rések felderítéséhez.
  • Patch Management rendszerek: Ezek a rendszerek automatizálják a szoftverfrissítések és biztonsági javítások telepítését a hálózaton lévő összes eszközön. A CVE azonosítókra támaszkodva prioritizálják a javításokat és biztosítják a kritikus frissítések időben történő alkalmazását.
  • SIEM (Security Information and Event Management) rendszerek: A SIEM megoldások összegyűjtik és elemzik a biztonsági eseményeket a teljes IT-infrastruktúrából. Integrálhatók CVE adatbázisokkal, hogy riasztásokat generáljanak, ha egy ismert sérülékenységet kihasználó támadásra utaló jeleket észlelnek.
  • Software Composition Analysis (SCA) eszközök: Ezek a fejlesztői eszközök elemzik a szoftverekben használt külső könyvtárakat és komponenseket, azonosítva a bennük található ismert CVE-ket. Segítenek a fejlesztőknek a függőségek biztonságos kezelésében.

Belső folyamatok és felelősségek

A technológia önmagában nem elegendő; szükség van jól definiált belső folyamatokra és egyértelmű felelősségekre. Minden szervezetnek rendelkeznie kell egy protokollal arra vonatkozóan, hogy ki felelős a CVE-k nyomon követéséért, a kockázatértékelésért, a javítások teszteléséért és telepítéséért. Ennek a folyamatnak tartalmaznia kell:

  • Sérülékenység-kezelési szabályzatot: Egy dokumentált stratégia, amely meghatározza, hogyan kezeli a szervezet a felfedezett sérülékenységeket.
  • Szerepkörök és felelősségek: Egyértelműen kijelölt személyek vagy csapatok, akik felelősek a különböző feladatokért.
  • Kommunikációs csatornák: Hatékony kommunikációs protokollok a biztonsági csapat, az IT-üzemeltetés, a fejlesztők és a felső vezetés között.
  • SLA-k (Service Level Agreements): A kritikus sérülékenységek javítására vonatkozó határidők meghatározása.

Képzés és tudatosság

Az emberi tényező továbbra is a kiberbiztonság leggyengébb láncszeme lehet. Ezért elengedhetetlen a munkatársak képzése és a biztonsági tudatosság növelése. A fejlesztőknek tisztában kell lenniük a biztonságos kódolási gyakorlatokkal és a CWE-kkel. A rendszergazdáknak érteniük kell a CVE-k jelentőségét és a patch management fontosságát. A végfelhasználóknak pedig tudniuk kell, hogyan kerüljék el a phishing támadásokat és más, a sérülékenységeket kihasználó fenyegetéseket.

A biztonsági kultúra fejlesztése, a rendszeres képzések és a szimulált támadások (pl. phishing tesztek) mind hozzájárulnak ahhoz, hogy a szervezet ellenállóbbá váljon a kiberfenyegetésekkel szemben.

Integráció más biztonsági eszközökkel és rendszerekkel

A CVE-k hatékony kezelése érdekében a szervezetnek integrálnia kell a CVE adatokat más biztonsági eszközökkel és rendszerekkel. Ez magában foglalhatja a fenyegetésfelderítési platformokat (Threat Intelligence Platforms), amelyek a CVE-ket kontextuális információkkal (pl. aktív exploitok, támadói csoportok) egészítik ki. Az integráció lehetővé teszi egy átfogóbb kép kialakítását a fenyegetési környezetről és a hatékonyabb reagálást.

Az asset management rendszerekkel való integráció is kulcsfontosságú, hogy pontosan tudjuk, mely rendszerek érintettek egy adott CVE által. Ez felgyorsítja a sérülékenység-vizsgálatok és a javítások célzott végrehajtását.

A CVE-k nem csak a technikai rendszerekről szólnak, hanem az emberekről, a folyamatokról és a kultúráról is, amelyek együtt biztosítják a digitális biztonságot.

A CVE rendszer maximális kihasználása érdekében a szervezeteknek egy holisztikus megközelítést kell alkalmazniuk, amely magában foglalja a technológiát, a folyamatokat és az embereket. Csak így lehet hatékonyan védekezni a folyamatosan fejlődő kiberfenyegetésekkel szemben, és biztosítani a digitális infrastruktúra ellenálló képességét.

A jövő: CVE és a kiberbiztonság evolúciója

A jövőben a CVE mesterséges intelligenciával gyorsítja a kiberbiztonságot.
A jövőben a CVE rendszerek mesterséges intelligenciával integrálva gyorsabb és pontosabb kiberfenyegetés-észlelést tesznek lehetővé.

A kiberbiztonsági táj folyamatosan változik, és ezzel együtt a sérülékenység-kezelési rendszereknek is fejlődniük kell. A CVE, mint a sérülékenységek azonosításának alapköve, nem maradhat statikus. Számos tendencia és technológiai fejlesztés formálja a jövőjét, amelyek célja a rendszer még hatékonyabbá tétele és a modern kiberfenyegetésekre való jobb felkészítés.

Mesterséges intelligencia szerepe a sérülékenység-felderítésben

A mesterséges intelligencia (MI) és a gépi tanulás (ML) egyre nagyobb szerepet kap a sérülékenység-felderítésben. Az MI alapú eszközök képesek nagy mennyiségű kódot elemezni, mintázatokat felismerni, és potenciális biztonsági réseket azonosítani, amelyek elkerülhetik az emberi elemzők figyelmét. Ez a technológia felgyorsíthatja a sérülékenységek felfedezését, és potenciálisan csökkentheti a zero-day problémák számát azáltal, hogy még a javítás kiadása előtt azonosítja a hibákat.

Az MI segíthet a CVE adatok elemzésében is, például a sérülékenységek csoportosításában, a trendek azonosításában és a kockázatok pontosabb előrejelzésében. Ezáltal a biztonsági szakemberek jobban priorizálhatják erőforrásaikat és proaktívabban védekezhetnek.

Automatizált válaszrendszerek

Az automatizált sérülékenység-felderítés mellett az automatizált válaszrendszerek (pl. SOAR – Security Orchestration, Automation and Response) is fejlődnek. Ezek a rendszerek képesek a CVE-k alapján automatikusan generált riasztásokra reagálni, például hálózati szabályokat módosítani, sebezhető rendszereket izolálni, vagy patch management folyamatokat indítani. Ez drámaian csökkentheti a reagálási időt és minimalizálhatja a támadások hatását.

Bár az emberi felügyelet továbbra is elengedhetetlen, az automatizálás segíthet a rutin feladatok elvégzésében, felszabadítva a biztonsági szakembereket a komplexebb elemzésekre és stratégiai döntésekre.

A szoftverellátási lánc biztonsága (SBOM – Software Bill of Materials)

A modern szoftverek egyre összetettebbek, és gyakran több száz, vagy akár több ezer külső komponenst és könyvtárat használnak. Ez a szoftverellátási lánc komoly biztonsági kockázatot jelent, mivel egyetlen komponensben található sérülékenység is az egész alkalmazást sebezhetővé teheti. A jövőben a Software Bill of Materials (SBOM) egyre fontosabbá válik.

Az SBOM egy részletes lista az összes komponensről, amely egy szoftvertermékben található. Ez az információ, ha integrálva van a CVE adatbázisokkal, lehetővé teszi a szervezetek számára, hogy pontosan tudják, mely sérülékenységek érintik az általuk használt szoftvereket, egészen a legmélyebb függőségi szintig. Ezáltal sokkal proaktívabban lehet kezelni a szoftverellátási lánc kockázatait.

Nemzetközi együttműködés és információmegosztás

A kiberfenyegetések globális jellege miatt a nemzetközi együttműködés és információmegosztás kulcsfontosságú. A CVE rendszer már most is nemzetközi kezdeményezés, de a jövőben még szorosabb együttműködésre van szükség a különböző országok CERT-jei, a gyártók és a kutatók között. Az információk gyorsabb és hatékonyabb megosztása segíthet a globális fenyegetések elleni kollektív védekezésben.

Ez magában foglalhatja a CNA program bővítését, új regionális központok létrehozását, és a kiberbiztonsági adatok szabványosítását, hogy azok még könnyebben megoszthatók és értelmezhetők legyenek a különböző joghatóságok között.

A CVE rendszer bővülése és fejlesztése

A MITRE és a CVE közösség folyamatosan dolgozik a rendszer fejlesztésén. Ez magában foglalhatja a CVE azonosítók kiosztásának és publikálásának felgyorsítását, az adatok minőségének javítását, valamint a CVE-k más biztonsági szabványokkal (pl. CISA KEV – Known Exploited Vulnerabilities Catalog) való integrációjának elmélyítését. A cél az, hogy a CVE még relevánsabb és hasznosabb eszközzé váljon a gyorsan változó kiberbiztonsági környezetben.

A jövőben valószínűleg nagyobb hangsúlyt kap majd a sérülékenységek kontextuális elemzése, például a fenyegetési intelligencia beépítése a CVE bejegyzésekbe, hogy a szervezetek ne csak a sérülékenység súlyosságát, hanem a valós kihasználtság kockázatát is felmérhessék. Ez segítene a túlzott riasztások csökkentésében és az erőforrások hatékonyabb elosztásában.

A CVE rendszer a kezdetek óta hatalmas utat járt be, és továbbra is a kiberbiztonság egyik alappillére marad. A technológiai fejlődés és a fokozott nemzetközi együttműködés révén a CVE a jövőben is kulcsfontosságú szerepet fog játszani abban, hogy a digitális világ biztonságosabbá váljon mindenki számára.

TAGGED:
Megosztás
Hozzászólások

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük