A partir de este concepto, se crearon los 321 registros CVE y la lista se hizo p\u00fablica oficialmente en septiembre de 1999.<\/p>\n
Contin\u00fae leyendo este contenido para entender un poco m\u00e1s sobre CVE y CVSS y c\u00f3mo se utilizan estos sistemas y conceptos para la clasificaci\u00f3n de vulnerabilidades en seguridad digital.<\/p>\n
\u00bfQu\u00e9 es la lista CVE?<\/h2>\n
La lista CVE es una lista de identificadores \u00fanicos para vulnerabilidades <\/a>de seguridad cibern\u00e9tica. <\/p>\n El objetivo de CVE es normalizar la identificaci\u00f3n y descripci\u00f3n de las vulnerabilidades de seguridad en software y sistemas para que la comunidad de seguridad pueda compartir informaci\u00f3n de forma coherente y eficaz. De este modo, los usuarios y las organizaciones pueden acceder a informaci\u00f3n precisa y actualizada sobre las vulnerabilidades de seguridad.<\/p>\n La lista CVE es mantenida por la MITRE Corporation, una organizaci\u00f3n sin \u00e1nimo de lucro financiada por el gobierno estadounidense. La lista se utiliza ampliamente en el sector de la ciberseguridad y es una referencia importante para investigadores, proveedores de software, empresas de seguridad y usuarios finales.<\/p>\n La comunidad de ciberseguridad ha elevado la importancia de CVE mediante el desarrollo de productos y servicios \u00abconformes con CVE\u00bb desde el momento en que se public\u00f3. En la actualidad, numerosos productos y servicios de todo el mundo utilizan registros CVE.<\/p>\n Otro hecho que contribuye a la adopci\u00f3n es la continua inclusi\u00f3n de los ID de CVE en los avisos de seguridad. Los principales proveedores de sistemas operativos (SO) y otras organizaciones de todo el mundo incluyen los ID de CVE en sus avisos para garantizar que la comunidad internacional se beneficie en cuanto se anuncia un problema. <\/p>\n Los registros CVE tambi\u00e9n se utilizan para identificar vulnerabilidades en listas de vigilancia p\u00fablicas, como OWASP , y se clasifican por gravedad en el Sistema Com\u00fan de Puntuaci\u00f3n de Vulnerabilidades (CVSS).<\/p>\n El CVE es una lista de identificadores \u00fanicos de vulnerabilidades de ciberseguridad. Las vulnerabilidades se clasifican en funci\u00f3n de su gravedad e impacto, respetando la siguiente nomenclatura:<\/p>\n Las clasificaciones CVE se utilizan para ayudar a identificar, analizar y corregir vulnerabilidades de seguridad en software y sistemas. Esto permite a la comunidad de ciberseguridad disponer de un est\u00e1ndar com\u00fan para comunicar y compartir informaci\u00f3n sobre vulnerabilidades, ayudando a proteger a usuarios y organizaciones de posibles ataques.<\/p>\n El Common Vulnerability Scoring System (CVSS) es un marco abierto para informar sobre las caracter\u00edsticas y la gravedad de las vulnerabilidades de software, hardware y firmware. Sus resultados incluyen puntuaciones num\u00e9ricas que indican la gravedad de una vulnerabilidad en relaci\u00f3n con otras vulnerabilidades.<\/p>\n El marco CVSS consta de tres grupos de m\u00e9tricas: <\/p>\n Representa las caracter\u00edsticas del activo que es vulnerable y que son constantes a lo largo del tiempo. El grupo de m\u00e9tricas base se compone de 2 conjuntos de m\u00e9tricas: <\/p>\n Explotabilidad:<\/strong> refleja la facilidad y los medios t\u00e9cnicos con los que se puede explotar la vulnerabilidad. En este punto se eval\u00faan el tipo de vector de ataque, la complejidad del ataque, los privilegios requeridos y la necesidad de interacci\u00f3n del usuario.<\/p>\n Impacto: <\/strong>refleja la consecuencia directa de un exploit exitoso en el componente afectado. Aunque el componente vulnerable suele ser una aplicaci\u00f3n, el componente afectado puede ser hardware o un dispositivo de red, por ejemplo.<\/p>\n Estas m\u00e9tricas ajustan la gravedad b\u00e1sica de una vulnerabilidad en funci\u00f3n de factores que pueden cambiar con el tiempo. <\/p>\n Las m\u00e9tricas temporales miden el estado actual de las t\u00e9cnicas de explotaci\u00f3n, as\u00ed como la existencia de parches o soluciones o la confianza en la descripci\u00f3n de una vulnerabilidad. <\/p>\n Supongamos que tras la identificaci\u00f3n y comunicaci\u00f3n de la vulnerabilidad al mercado, se publica un kit de explotaci\u00f3n f\u00e1cil de usar. Esto aumentar\u00eda la puntuaci\u00f3n CVSS de la vulnerabilidad en cuesti\u00f3n. <\/p>\n Por el contrario, si despu\u00e9s de identificar la vulnerabilidad se publica un parche oficial, la puntuaci\u00f3n de la vulnerabilidad se reducir\u00eda. <\/p>\n Representa las caracter\u00edsticas de una vulnerabilidad que son exclusivas del entorno del usuario. Estas m\u00e9tricas permiten a los analistas personalizar la puntuaci\u00f3n CVSS en funci\u00f3n de la importancia del activo tecnol\u00f3gico afectado. <\/p>\n Durante la fase de evaluaci\u00f3n medioambiental se hace referencia a los pilares de Confidencialidad, Integridad y Disponibilidad. <\/p>\n Por ejemplo, si el activo tecnol\u00f3gico afectado por la vulnerabilidad soporta el pilar de disponibilidad y este pilar es cr\u00edtico para el funcionamiento de la empresa, el analista puede asignar un valor m\u00e1s alto a la Disponibilidad en relaci\u00f3n con la Confidencialidad y la Integridad. <\/p>\n Las m\u00e9tricas de l\u00ednea de base producen una puntuaci\u00f3n que va de 0 a 10, y puede modificarse puntuando las m\u00e9tricas temporal y ambiental. Una puntuaci\u00f3n CVSS tambi\u00e9n se presenta como una cadena vectorial, una representaci\u00f3n textual de los valores utilizados para derivar la puntuaci\u00f3n.<\/p>\n Es habitual que s\u00f3lo se publiquen las m\u00e9tricas base, ya que no cambian con el tiempo y son comunes a todos los entornos. Los usuarios de CVSS deben complementar la puntuaci\u00f3n base con puntuaciones temporales y ambientales espec\u00edficas del uso del producto vulnerable para obtener una gravedad m\u00e1s precisa en su entorno como organizaci\u00f3n. <\/p>\n Las puntuaciones b\u00e1sicas suelen ser elaboradas por la organizaci\u00f3n que mantiene el producto vulnerable o por una tercera parte en su nombre. <\/p>\n Los usuarios pueden utilizar la informaci\u00f3n del CVSS como entrada a un proceso organizativo de gesti\u00f3n de vulnerabilidades que tambi\u00e9n tenga en cuenta factores ajenos al CVSS para clasificar las amenazas a su infraestructura tecnol\u00f3gica y tomar decisiones de correcci\u00f3n m\u00e1s espec\u00edficas. <\/p>\n Tales factores pueden incluir: n\u00famero de clientes de una l\u00ednea de productos, p\u00e9rdidas monetarias debidas a una brecha, vidas o propiedades amenazadas, u opini\u00f3n p\u00fablica sobre vulnerabilidades muy publicitadas. Estos factores quedan fuera del \u00e1mbito del CVSS.<\/p>\n Entre las ventajas del CVSS se incluye la provisi\u00f3n de una metodolog\u00eda estandarizada de puntuaci\u00f3n de vulnerabilidades que es independiente de la plataforma y el proveedor. Se trata de un marco abierto que ofrece transparencia sobre las caracter\u00edsticas individuales y la metodolog\u00eda utilizada para obtener una puntuaci\u00f3n.<\/p>\n CVSS es propiedad y est\u00e1 gestionado por FIRST.Org, Inc. (FIRST), una organizaci\u00f3n sin \u00e1nimo de lucro con sede en Estados Unidos cuya misi\u00f3n es ayudar a los equipos de respuesta a incidentes de seguridad inform\u00e1tica de todo el mundo. <\/p>\n Este contenido aport\u00f3 una visi\u00f3n resumida de c\u00f3mo se tratan y clasifican las vulnerabilidades, teniendo en cuenta referencias internacionales muy coherentes.<\/p>\n La gesti\u00f3n de vulnerabilidades es una tarea que requiere gran competencia t\u00e9cnica y continuidad, ya que las vulnerabilidades no dejan de surgir y es deber de las empresas buscar medios eficaces para mantener a salvo sus entornos y datos.<\/p>\n \u00bfA\u00fan tiene dudas sobre la clasificaci\u00f3n del proceso de identificaci\u00f3n y gesti\u00f3n de vulnerabilidades<\/a>en su empresa? Converse con nuestros especialistas y sepa como podemos ayudarlos.<\/p>\n Fuente: First<\/a>, CVE<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" El aumento de la explotaci\u00f3n de vulnerabilidades de seguridad en software y aplicaciones crece exponencialmente cada a\u00f1o, acarreando p\u00e9rdidas representativas a empresas y gobiernos. Los impactos son m\u00e1s evidentes en la actualidad, sin embargo, la preocupaci\u00f3n por las vulnerabilidades atrae la atenci\u00f3n de los investigadores desde hace m\u00e1s de 20 a\u00f1os. En enero de 1999, […]<\/p>\n","protected":false},"author":14,"featured_media":19967,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1005,1015,1019],"tags":[1778,1936],"class_list":["post-19983","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-aprendizaje-descubrimiento","category-educacion-digital","category-generico","tag-cve-es","tag-seguranca-digital-es"],"yoast_head":"\nIdentificador de clasificaci\u00f3n CVE<\/h2>\n
\n
CVSS \u00bfqu\u00e9 es y para qu\u00e9 sirve?<\/h2>\n
M\u00e9trica Base<\/h3>\n
M\u00e9trica Temporal<\/h3>\n
M\u00e9trica Ambiental<\/h3>\n
Puntuaci\u00f3n CVSS<\/h2>\n
Beneficios do uso do CVSS<\/h2>\n
![\"GCV\"](\"https:\/\/ostec.blog\/wp-content\/uploads\/2023\/03\/GCV-horizontal.jpg\")
<\/a><\/p>\n