O que é um CVE? Vulnerabilidades e exposições comuns explicadas

Os CVEs são parte integrante do gerenciamento de vulnerabilidades. Você pode ter ouvido a sigla antes, mas o que ela significa e o que as torna importantes?

O que é um CVE?

CVE significa Common Vulnerabilities and Exposures, e refere-se a um banco de dados que contém vulnerabilidades e exposições de segurança da informação divulgadas publicamente.

O sistema é mantido ativamente pelo National Cybersecurity FFRDC dos Estados Unidos, que é administrado pela MITRE Corporation.

Com esta última sendo uma organização sem fins lucrativos, a CVE conta com financiamento da Divisão Nacional de Segurança Cibernética do Departamento de Segurança Interna dos EUA para operar.

A diferença entre vulnerabilidades e exposições

As vulnerabilidades são um sistema de falhas que criaram fraquezas na infraestrutura que um ataque cibernético poderia explorar. Eles podem consistir em qualquer coisa, desde software sem patch até uma porta USB desprotegida.

Quando deixados sem supervisão, eles podem permitir que os cibercriminosos acessem a memória do sistema, instalem malware, executem códigos maliciosos ou até mesmo roubem, destruam e modifiquem dados confidenciais.

Uma exposição representa uma única instância em que o sistema de uma organização está em perigo.

Comumente descrito como um simples erro, ele abre uma organização para vários casos de danos cibernéticos.

Os exemplos incluem, mas não estão limitados a

  • vazamentos de dados
  • Violações de dados
  • informações de identificação pessoal sendo exfiltradas e vendidas na Dark Web.

A esmagadora maioria dos incidentes de segurança é causada por exposições, e não por planos de exploração bem pensados.

A história do sistema CVE

O conceito inicial do que mais tarde se tornaria o banco de dados CVE originou-se em um whitepaper intitulado Towards a Common Enumeration of Vulnerabilities, escrito pelos co-criadores Steven M. Christey e David E. Mann, da MITRE Corporation.

A dupla apresentou a peça no 2º Workshop sobre Pesquisa com Bancos de Dados de Vulnerabilidade de Segurança da Universidade de Purdue, que ocorreu em janeiro de 1999.

A partir daí, Christey e Mann montaram um grupo de trabalho que mais tarde se tornaria o Conselho Editorial CVE de 19 membros e montaram uma lista CVE original de 321 registros.

Em setembro de 1999, a lista tornou-se disponível ao público e, assim, nasceu o sistema como o conhecemos hoje.

Desde o lançamento da lista CVE em 1999, várias empresas da comunidade de segurança cibernética endossaram a iniciativa com produtos compatíveis. Em dezembro de 2000, um total de 29 organizações participavam da iniciativa com suas 43 ofertas complementares.

Além disso, o banco de dados CVE foi usado como ponto de partida para vários produtos totalmente novos, como o Banco de Dados Nacional de Vulnerabilidades dos EUA (NVD) do NIST.

Ao longo dos anos, o sistema continuou a crescer e ainda o faz hoje, desde a inclusão de novos CNAs em 2016. Assim, a iniciativa se expande com todas as organizações que se juntam ao MITRE como colaboradoras.

A lista completa de parceiros pode ser encontrada em CVE.org.

Como os CVEs são determinados?

Quando se trata de como um CVE é determinado, há uma regra simples que você precisa lembrar – todos os CVEs são falhas, mas nem todas as falhas são CVEs. Uma falha é declarada um CVE quando atende a três critérios muito específicos:

  • A falha pode ser corrigida separadamente de quaisquer outros bugs.
    O fornecedor do software reconhece e documenta a falha como
  • prejudicial à segurança de seus usuários.
  • A falha afeta uma base de código singular. Falhas que afetam vários produtos recebem vários CVEs.

Cada falha determinada como um CVE recebe um número chamado Identificador CVE, ou ID CVE. Esses IDs são atribuídos por uma das mais de 220 Autoridades de Numeração CVE, ou CNAs, de 34 países.

De acordo com o MITRE, os CNAs são representados por uma variedade de organizações, desde fornecedores de software e projetos de código aberto até provedores de serviços de recompensa por bugs e grupos de pesquisa.

Todas essas entidades estão autorizadas a atribuir IDs CVE e publicar registros deles pelo Programa CVE.

Associações e empresas de vários setores aderiram ao programa CNA ao longo dos anos. Os requisitos para fazer isso são mínimos e não envolvem contrato ou taxa monetária.

O padrão internacional para IDs CVE é o CVE-[Ano]-[Número]. Naturalmente, a parte [Ano] representa o ano em que a vulnerabilidade ou exposição foi relatada.

O [Número] é um marcador de série atribuído pelo respectivo CNA.

O que é uma pontuação CVSS?

O CVSS (Common Vulnerability Scoring System) representa uma interpretação numérica (em uma escala de 0 a 10) da gravidade de um CVE.

As equipes de segurança da informação frequentemente empregam classificações CVSS como parte de seu processo de avaliação de vulnerabilidades para priorizar a correção de vulnerabilidades de alto risco.

Quantos CVEs existem?

Milhares de novos CVEs são publicados todos os anos desde que o programa foi fundado em 1999. No momento em que escrevo este artigo, o site oficial do CVE.org relata um total de 177.353 registros CVE na lista. Isso se resume a uma média de 7.711 vulnerabilidades e exposições por ano, mas a realidade dos últimos anos é que esse número é quase o dobro, com até 15.000 novos CVEs relatados.

Dos mais de 177.000 CVEs atualmente registrados, mais da metade pertence aos 50 maiores fornecedores de software do mundo. Por exemplo, empresas como Microsoft ou Oracle têm mais de 6.000 falhas relatadas em seus produtos.

Por que os CVEs são importantes?

O Programa CVE foi criado para simplificar o compartilhamento de informações sobre vulnerabilidades conhecidas entre as organizações.

Isso é possível porque os IDs CVE mencionados acima oferecem aos profissionais de segurança cibernética a opção de encontrar facilmente informações sobre falhas em várias fontes confiáveis usando o mesmo denominador em toda a linha.

Com esse sistema implementado, as organizações são incentivadas a atualizar constantemente suas estratégias de segurança de acordo com as vulnerabilidades e exposições mais recentes que aparecem.

Além disso, a lista CVE é uma linha de base sólida para as empresas avaliarem a cobertura das soluções que usam e decidirem se devem investir em defesas mais robustas ou não.

O uso de IDs CVE também é um curso de ação preferido não apenas na prevenção de ataques cibernéticos, mas também na detecção e resposta a vulnerabilidades do sistema.

Ao procurar IDs CVE quando um problema é detectado, as organizações podem obter informações precisas sobre uma exploração específica rapidamente de várias fontes certificadas, permitindo que priorizem sua mitigação adequadamente.

Os cibercriminosos podem explorar CVEs?

Infelizmente, assim como as organizações podem usar CVEs em seu benefício, os grupos cibercriminosos também podem.

Quando as vulnerabilidades se tornam conhecidas do público em geral, há uma janela entre sua publicação e sua mitigação em todos os usuários de software que os hackers podem explorar.

No entanto, os benefícios dos CVEs superam em muito suas desvantagens. Por um lado, a lista é restrita apenas a vulnerabilidades e exposições conhecidas.

Além disso, compartilhar informações dentro da comunidade de segurança cibernética é uma das maneiras mais seguras de reduzir os vetores de ataques cibernéticos quando combinado com soluções robustas de segurança cibernética que respaldam esse conhecimento.

Como o Heimdal pode ajudá-lo a corrigir CVEs

No final do dia, a lista CVE é apenas isso – uma lista. Mas quando se trata de prevenir ataques, a velocidade de execução na correção de CVEs é o que mais importa.

Quanto maior o tempo, maior o risco de ser explorado. A estratégia de segurança cibernética da sua empresa deve sempre levar em consideração as ameaças mais recentes, mas isso significa que você precisa de uma estratégia para começar.

Quando se trata de mitigar e lidar com vulnerabilidades, o Heimdal Patch & Asset Management pode fornecer uma resposta rápida.

Uma solução de patch totalmente automatizada e ferramenta de gerenciamento de inventário de software, permite implantar atualizações para o sistema operacional Microsoft e Linux, bem como software proprietário e de terceiros, assim que forem lançados.

Dessa forma, você não está apenas evitando CVEs, mas também minimizando a janela de oportunidade para os cibercriminosos explorarem essas vulnerabilidades.

O Heimdal Patch & Asset Management foi projetado para funcionar com interrupções mínimas e eficiência de agendamento otimizada para aumentar a produtividade e menos interrupções para seus funcionários.

Considerações Finais

Manter-se atualizado com as vulnerabilidades e exposições mais recentes é apenas o primeiro passo. A aplicação automatizada de patches é a continuação natural. Assim, se você deseja manter sua empresa segura, certifique-se de investir em uma estratégia que coloque o software em constante atualização em primeiro plano. Só assim você pode prevenir com eficiência a maioria dos ataques cibernéticos.

O Heimdal Patch & Asset Management pode ser a solução certa para você. Para mais informações, não hesite em contactá sales.inquiries@heimdalsecurity.com.

Se você gostou deste artigo, siga-nos no LinkedIn, Twitter, Facebook, Youtube e Instagram para mais notícias e tópicos sobre segurança cibernética.

Aufiero-Informática
  • Argentina: +54-11-2150-5353
  • Chile: +56-2-2405-3246
  • México: +52-55-8526-3019
  • United States:+1 305 404-5229
  • Brasil: +55-11 5242 0742