O CVE, sigla inglesa para Vulnerabilidades e Exposições Comuns, é uma lista pública de falhas de segurança. Quando alguém menciona um CVE, geralmente está se referindo ao número de identificação (ID) atribuído a uma falha de segurança.
Os CVEs ajudam os profissionais de TI a trabalharem em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores mais seguros.
Como funciona o sistema CVE?
O CVE é administrado pela MITRE Corporation e financiado pela da Agência de Segurança Cibernética e de Infraestrutura, que integra o Departamento de Segurança Interna dos EUA.
As entradas do CVE são curtas. Não incluem dados técnicos, nem informações sobre riscos, impactos ou correções. Essas informações aparecem em outros bancos de dados, como o National Vulnerability Database dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas mantidas por fornecedores e outras organizações. Nesses vários sistemas, os IDs CVE oferecem aos usuários uma forma confiável de diferenciar as falhas de segurança.
Como uma falha de segurança recebe um ID CVE?
IDs CVE são atribuídos por uma Autoridade de Numeração CVE (CNA). Existem aproximadamente 100 CNAs, representando os principais fornecedores de TI e também várias empresas de segurança e organizações de pesquisa. A MITRE também pode emitir CVEs diretamente.
As CNAs recebem blocos de CVEs, que são reservados para atribuição aos novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, por exemplo, pode acumular centenas de CVEs.
Relatórios de CVEs podem surgir de várias fontes. Um fornecedor, um pesquisador ou um usuário astuto podem descobrir uma falha e informar alguém a respeito. Muitos fornecedores oferecem recompensas por bugs, para encorajar a divulgação responsável de falhas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade.
De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. A CNA atribui um ID CVE à informação e cria uma breve descrição com referências. Depois, essa entrada é publicada no site do CVE.
É possivel que nem todas essas etapas ocorram de imediato. É comum fornecedores manterem falhas de segurança em segredo até desenvolverem e testarem uma correção. Isso reduz as chances de invasores&npsp;explorarem falhas não corrigidas.
Depois de publicada, a entrada inclui o ID CVE (no formato “CVE-2019-1234567”), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.
O que qualifica um CVE?
Os IDs CVE são atribuídos a falhas que atendem a certos critérios. Elas devem ser:
1. Corrigíveis de forma independente.
A falha pode ser corrigida independentemente de outros bugs.
2. Reconhecidas pelo fornecedor afetado.
O fornecedor do software ou hardware reconheceu o bug e admitiu o impacto negativo à segurança.
OU
Documentadas. Foi compartilhado um relatório de vulnerabilidade que demonstra o impacto negativo do bug e a violação da política de segurança do sistema afetado.
3. Afetam apenas uma base de código.
Falhas que impactam mais de uma solução recebem CVEs separados. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução afetada recebe um CVE único.
O que é o Sistema de Pontuação de Vulnerabilidade Comum?
Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o Sistema de Pontuação de Vulnerabilidade Comum, um conjunto de padrões open source usado para atribuir um número a uma vulnerabilidade, de acordo com a sua gravidade. A pontuação vai de 0 a 10; quanto maior o número, mais grave. Muitos fornecedores de segurança criaram seus próprios sistemas de pontuação.
Três lições principais
Conheça as suas implantações O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Certifique-se de ler cada CVE para saber se seu ambiente foi afetado. Verifique a relação (total ou parcial) com o sistema operacional, aplicação, módulos e configurações instaladas no seu ambiente.
Pratique o gerenciamento de vulnerabilidades Gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso significa entender como um risco se aplica à sua organização. Assim, você pode priorizar adequadamente qualquer vulnerabilidade pendente que precise ser resolvida.
Esteja pronto para se comunicar CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo tempo de inatividade necessário para resolvê-las. Comunique-se e coordene-se com seus clientes internos e compartilhe as vulnerabilidades com a gestão da central de riscos da sua organização.
0 comentário