Entenda o que é Common Vulnerabilities and Exposures

Você sabia que contar com o Common Vulnerabilities and Exposures (CVE), é essencial? Qualquer sistema de computador com vulnerabilidades de segurança pode ser exposto a ataques cibernéticos. Ou seja, todos os sistemas que estiverem conectados à internet ou a qualquer rede externa.

Mas, para garantir uma estratégia de segurança para os seus sistemas, conhecer o CVE é essencial. Afinal, é uma rica fonte de conhecimento para as organizações.

Sabemos que conhecer as possíveis fraquezas de seus sistemas significa que você pode avaliar suas medidas de segurança em relação a eles para atender a um propósito crítico: construir um mecanismo de defesa mais robusto.

O que é Common Vulnerabilities and Exposures?

Antes de definir o termo CVE, vamos primeiro entender a vulnerabilidade e a exposição. Uma vulnerabilidade é a fraqueza de um sistema de computador. Afinal, pode ser potencialmente explorada para obter acesso não autorizado por invasores cibernéticos.

Desse modo, uma vulnerabilidade pode se apresentar em diferentes níveis, como hardware, software, rede, pessoal, organizacional e etc. As vulnerabilidades podem ser quase qualquer coisa. Exemplos comuns incluem:

Falta de autenticação;
Erros de validação de entrada;
Injeções de SQL.

Exposição é qualquer incidente que permita que os invasores obtenham vantagens sobre as vulnerabilidades do seu sistema para realizar atividades não autorizadas. Sendo assim, a exposição pode causar efeitos adversos, muitas vezes graves, como vazamentos de dados confidenciais, injeção de malware, ataques de ransomware e muito mais.

Sobre o surgimento do CVE

Tudo começou em 1999, quando a MITRE Corporation, com sede nos EUA, lançou o sistema CVE. Inicialmente, como um sistema de referência para identificar e classificar vulnerabilidades comuns em exposições em sistemas de computadores em todo o mundo.

Hoje, o CVE é mantido pelo National Cybersecurity FFRDC, operado pela MITRE, e patrocinado pela Cybersecurity Infrastructure Security Agency (CISA), alojado no Departamento de Segurança Interna. Em um mundo pré-CVE, obter informações sobre vulnerabilidades e exposições não era fácil.

Uma variedade de bancos de dados CVE com seus atributos e sistemas de identificação próprios foram isolados e de propriedade de pessoas diferentes. Desse modo, o sistema CVE quebra essa barreira, permite o compartilhamento de dados entre outros bancos de dados e avalia as ferramentas de segurança cibernética em relação a uma ampla lista de falhas de segurança.

Como funciona o Common Vulnerabilities and Exposures?

O Common Vulnerabilities and Exposures (CVE) é uma lista publicamente disponível de vulnerabilidades e exposições de segurança da informação que ocorrem com frequência. O objetivo do CVE é conscientizar e compartilhar informações sobre essas brechas de segurança e os efeitos que essas brechas podem ter. Isso ajuda as organizações a:

Avalie suas estratégias e estruturas de segurança cibernética.
Encontre as últimas tendências de violação de segurança.
Atualize os sistemas para lutar contra essas falhas de segurança.

Quais os benefícios do Common Vulnerabilities and Exposures?

Os registros CVE oferecem às organizações preocupadas com a segurança muitos benefícios:

Se você deseja investir em uma nova ferramenta de segurança, os CVEs permitem definir a linha de base para avaliar as ferramentas de segurança. As organizações podem ver quais vulnerabilidades cada ferramenta de segurança cobre para selecionar aquela que fornece a maior cobertura.
Ao incluir vulnerabilidades na lista CVE assim que são detectadas e corrigidas, as organizações demonstram seu compromisso com uma melhor segurança cibernética.
Uma fonte rápida e confiável para as organizações obterem informações precisas sobre uma vulnerabilidade ou exposição específica.
Permite que as organizações priorizem vulnerabilidades para um melhor gerenciamento de vulnerabilidades.
Simplifica os processos de disseminação de vulnerabilidades.
Cria clientes atuais e potenciais.

Quais são os riscos associados ao Common Vulnerabilities and Exposures?

Alguns argumentam que divulgar essas informações publicamente pode conscientizar os hackers sobre elas, facilitando a exploração delas. Os proponentes do CVE, no entanto, dizem que mais pessoas sabendo mais sobre as vulnerabilidades aceleram a prevenção. É importante ressaltar que o CVE contém apenas vulnerabilidades e exposições conhecidas publicamente.

Desse modo, os detalhes sobre a vulnerabilidade geralmente não são divulgados até que uma parte divulgada introduza uma correção. Sendo assim, significa que o risco de torná-los abertos ao público é menos preocupante em comparação com os benefícios educacionais e acionáveis que o CVE oferece.

O que possui um registro de CVE?

O registro CVE consiste nos seguintes campos:

CVE-ID;
Descrição;
Referências;
Atribuindo CNA;
Registrar a data de criação;

Os campos desatualizados/herdados que persistem em registros antigos incluem:
Fase;
Votos: os membros do conselho votam se o registro pode ser aceito como CVE;
Comentários: Comentários sobre a vulnerabilidade;
Proposta: a data proposta da vulnerabilidade.

O CVE é uma ótima forma de conhecimento sobre vulnerabilidades!

Um CVE é um dicionário publicamente disponível de vulnerabilidades e exposições de segurança. Desse modo, qualquer organização pode relatar uma vulnerabilidade para incluir na lista CVE por meio de um participante do programa CVE.

Depois de enviar as informações obrigatórias e atender aos critérios exigidos, um registro pode ser enviado e criado por um CNA. Todos os CVEs têm um identificador exclusivo. Sendo assim, os CVEs são fontes de informações muito úteis sobre vulnerabilidades comuns.

Eles permitem que as organizações avaliem seus mecanismos de segurança contra ataques cibernéticos gratuitamente e demonstram seu compromisso de alcançar a máxima segurança para seus clientes em potencial. Sendo assim, fornece uma identificação única e comum para todas as vulnerabilidades de segurança conhecidas em sistemas de computadores e softwares.

Desse modo, permite que os usuários finais e profissionais de segurança se comuniquem de forma clara e precisa sobre as ameaças existentes. Então, o CVE ajuda a identificar e corrigir vulnerabilidades mais rapidamente, melhorando a segurança geral dos sistemas de computadores e softwares.

Fonte

https://www.splunk.com/en_us/blog/learn/cve-common-vulnerabilities-exposures.html

Douglas Bernardini

Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.

Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)

Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.

Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.