O que é um CVE? Vulnerabilidades e exposições comuns explicadas
Vulnerabilidades e exposições comuns (CVE) é uma lista de vulnerabilidades e exposições de segurança da informação divulgadas publicamente.
O CVE foi lançado em 1999 pela corporação MITRE para identificar e categorizar vulnerabilidades em software e firmware. O CVE fornece um dicionário gratuito para as organizações melhorarem sua segurança cibernética. O MITRE é uma organização sem fins lucrativos que opera centros de pesquisa e desenvolvimento financiados pelo governo federal nos Estados Unidos.
A diferença: vulnerabilidades vs. exposições
Uma vulnerabilidade é uma fraqueza que pode ser explorada em um ataque cibernético para obter acesso não autorizado ou executar ações não autorizadas em um sistema de computador. As vulnerabilidades podem permitir que os invasores executem código, acessem a memória do sistema, instalem diferentes tipos de malware e roubem, destruam ou modifiquem dados confidenciais.
Uma exposição é um erro que dá a um invasor acesso a um sistema ou rede. As exposições podem levar a violações de dados, vazamentos de dados e informações de identificação pessoal (PII) sendo vendidas na dark web.
Na verdade, algumas das maiores violações de dados foram causadas por exposições acidentais, em vez de ataques cibernéticos sofisticados.
Qual é o objetivo do CVE?
O objetivo do CVE é facilitar o compartilhamento de informações sobre vulnerabilidades conhecidas para que as estratégias de segurança cibernética possam ser atualizadas com as falhas de segurança e problemas de segurança mais recentes
O CVE faz isso criando um identificador padronizado para uma determinada vulnerabilidade ou exposição. Os identificadores CVE (também chamados de nomes CVE ou números CVE) permitem que os profissionais de segurança acessem informações sobre ameaças cibernéticas específicas em várias fontes de informações usando o mesmo nome comum.
Por exemplo, o UpGuard é um produto compatível com CVE e seus relatórios fazem referência a IDs de CVE. Isso permite que você encontre informações de correção em qualquer banco de dados de vulnerabilidades compatível com CVE.
O que é o Common Vulnerability Scoring System (CVSS)?
O Common Vulnerability Scoring System (CVSS) é um conjunto de padrões abertos para atribuir um número a uma vulnerabilidade para avaliar sua gravidade. As pontuações CVSS são usadas pelo NVD, CERT, UpGuard e outros para avaliar o impacto de uma vulnerabilidade.
Uma pontuação CVSS varia de 0,0 a 10,0. Quanto maior o número, maior o grau de severidade da segurança.
Quem gerencia o CVE?
O MITRE mantém o dicionário CVE e o site CVE, bem como o Programa de Compatibilidade CVE. O Programa de Compatibilidade CVE promove o uso de identificadores CVE padrão emitidos por autoridades de numeração CVE (CNAs) autorizadas.
Quem patrocina o CVE?
O CVE é patrocinado pelo Departamento de Segurança Interna dos EUA (DHS), pela Agência de Segurança Cibernética e Infraestrutura (CISA) e pelo US-CERT.
Quais são os benefícios de se referir a CVEs?
O banco de dados CVE permite que as organizações definam uma linha de base para avaliar a cobertura de suas ferramentas de segurança. Os identificadores comuns do CVE permitem que as organizações vejam o que cada ferramenta cobre e quão apropriadas elas são para sua organização.
Os avisos de segurança podem fazer referência a informações de vulnerabilidade CVE para procurar assinaturas de ataque conhecidas e corrigir explorações críticas como parte de qualquer processo forense digital.
Procure ferramentas de segurança com compatibilidade CVE em vez de avaliações de vulnerabilidade proprietárias, é uma ótima maneira de reduzir o risco de segurança cibernética da sua organização.
O CVE é um banco de dados de vulnerabilidades?
O CVE não é um banco de dados de vulnerabilidade. O CVE foi projetado para permitir que bancos de dados de vulnerabilidades e outras ferramentas sejam vinculados. Também facilita comparações entre ferramentas e serviços de segurança.
Confira o Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD) que usa os identificadores da lista CVE e inclui informações de correção, pontuação e outras informações.
O banco de dados CVE lista todas as vulnerabilidades e exposições conhecidas?
O CVE não lista todas as vulnerabilidades e exposições conhecidas. O objetivo do CVE é ser abrangente e é. Dada a escala de vulnerabilidades e exposições, é provável que seja uma tarefa impossível para um sistema conter tudo.
Qualquer pessoa pode usar o CVE?
Sim, o CVE é gratuito e acessível ao público. O CVE foi projetado para permitir que qualquer pessoa correlacione dados entre diferentes vulnerabilidades, ferramentas de segurança, repositórios e serviços.
Qualquer pessoa pode pesquisar, baixar, copiar, redistribuir, referenciar e analisar o CVE, desde que não modifique nenhuma informação.
O que é uma entrada CVE?
Uma entrada CVE descreve uma vulnerabilidade ou exposição conhecida.
Cada entrada CVE contém um número de identificador padrão com indicador de status (ou seja, "CVE-1999-0067", "CVE-2014-12345", "CVE-2016-7654321"), uma breve descrição e referências a relatórios e avisos de vulnerabilidade relacionados.
Cada ID CVE é formatada como CVE-YYYY-NNNNN. A parte AAAA é o ano em que o ID CVE foi atribuído ou o ano em que a vulnerabilidade foi tornada pública.
Ao contrário dos bancos de dados de vulnerabilidade, as entradas CVE não incluem risco, correção de impacto ou outras informações técnicas.
Os hackers podem usar o CVE para atacar minha organização?
A resposta curta é sim, mas muitos profissionais de segurança cibernética acreditam que os benefícios do CVE superam os riscos:
- O CVE é restrito a vulnerabilidades e exposições conhecidas publicamente.
- Melhora a capacidade de compartilhamento de vulnerabilidades e exposições dentro da comunidade de segurança cibernética.
- As organizações precisam proteger a si mesmas e suas redes, corrigindo todas as possíveis vulnerabilidades e exposições, enquanto um invasor só precisa encontrar uma única vulnerabilidade e explorá-la para obter acesso não autorizado. É por isso que uma lista de vulnerabilidades conhecidas é tão valiosa e uma parte importante da segurança da rede.
- O crescente acordo para que a comunidade de segurança cibernética compartilhe informações está reduzindo o vetor de ataque de muitos ataques cibernéticos. Isso se reflete na aceitação generalizada de que o Conselho CVE e as Autoridades de Numeração CVE (CNAs) são organizações-chave em segurança cibernética.
Como exemplo concreto, muitos acreditam que o ransomware WannaCry, que se espalhou pela vulnerabilidade EternalBlue, teria tido menos impacto se a vulnerabilidade fosse compartilhada publicamente.
O que é o Conselho CVE?
O Conselho CVE é composto por organizações de segurança cibernética, incluindo fornecedores de ferramentas de segurança, academia, instituições de pesquisa, departamentos e agências governamentais, especialistas em segurança e usuários finais de informações de vulnerabilidade.
O Conselho CVE fornece informações críticas sobre fontes de dados, cobertura de produtos, metas de cobertura, estrutura operacional e direção estratégica do programa CVE.
Todas as discussões do Conselho CVE podem ser encontradas por meio de seus arquivos de discussão por e-mail e arquivos de reuniões. O Personagem da Placa CVE também é acessível ao público.
O que são CNAs?
As Autoridades de Numeração CVE (CNAs) são organizações que identificam e distribuem números de identificação CVE para pesquisadores e fornecedores para inclusão em anúncios públicos de novas vulnerabilidades. Os CNAs incluem fornecedores de software, projetos de código aberto, centros de coordenação, provedores de serviços de recompensa por bugs e grupos de pesquisa.
Os CNAs são sistemas federados que ajudam a identificar vulnerabilidades e atribuem a elas um ID sem envolver diretamente o MITRE, que é o CNA principal.
Quem são os CNAs?
Atualmente, existem 104 CNAs em 18 países, incluindo muitos nomes conhecidos como Microsoft, Adobe, Apple, Cisco, Google, Hewlett Packard Enterprise, Huawei, IBM, Intel, Mozilla, Oracle, Red Hat, Siemens, Symantec, VMWare, Atlassian, Autodesk, Cloudflare, Elastic, GitHub, Kubernetes, Netflix e Salesforce. Você pode ver a lista completa de autoridades de numeração CVE aqui.
O que é um CNA raiz?
O MITRE serve como o CNA primário, enquanto os CNAs raiz cobrem uma determinada área ou nicho.
Em muitos casos, um CNA raiz é quando uma grande empresa - como a Apple - publica vulnerabilidades sobre seus próprios produtos. Em outros casos, o CNA raiz pode estar focado em vulnerabilidades de código aberto.
Onde está a versão mais recente da lista CVE?
A versão mais recente da lista CVE sempre pode ser encontrada em cve.mitre.org. Embora a lista CVE seja gratuita, pode ser difícil saber quais vulnerabilidades afetam sua organização sem ferramentas adicionais. É por isso que muitas organizações agora usam ferramentas que monitoram as alterações na lista CVE que as afetam.
Novos identificadores CVE são adicionados diariamente. Procure ferramentas sofisticadas que monitorem automaticamente você e seus fornecedores em busca de vulnerabilidades. O gerenciamento de riscos de terceiros e de terceiros é uma parte fundamental do gerenciamento de riscos de informações e de sua política de segurança de informações. Torne o gerenciamento de vulnerabilidades parte do gerenciamento de riscos de fornecedores, da estrutura de gerenciamento de riscos de terceiros e dos processos de avaliação de riscos de segurança cibernética.
Como uma vulnerabilidade ou exposição é adicionada ao CVE?
Os CVEs são adicionados quando um pesquisador encontra uma falha ou descuido de design no software ou firmware. O fornecedor não precisa vê-lo como uma vulnerabilidade para que ele seja listado como um CVE. Dito isso, o pesquisador pode ser obrigado a fornecer evidências de como ele pode ser usado como parte de uma exploração.
Quanto mais forte for a reivindicação, maior a probabilidade de ela ser adicionada ao CVE e maior a probabilidade de ter uma pontuação alta no Common Vulnerability Scoring System em bancos de dados de vulnerabilidade.
Os CVEs em potencial relatados por fornecedores estabelecidos ou outras partes confiáveis geralmente serão adicionados à lista de CVE rapidamente.
Onde saber mais sobre CVEs
Para obter uma lista exaustiva de respostas às suas perguntas relacionadas ao CVE, recomendamos a leitura das Perguntas frequentes do CVE.