This post is also available in: Português English Español
Desde que a humanidade começou a armazenar dados em computadores existe a preocupação em manter a salvo esse conjunto de informações. O crescimento gigantesco do acesso a computadores, tablets e smartphones só fez crescer a quantidade de ameaças à proteção de tudo que é salvo nesses equipamentos – ou através deles, como no caso da computação em nuvem. Essa expansão é comprovada e reafirmada a cada dia, através de notícias dando conta de que até mesmo membros do alto escalão do governo estão sofrendo invasões – ainda que estejam cercados por órgãos especializados em cybersegurança.
Entretanto, quem trabalha para evitar e combater ataques aos sistemas de informação e armazenamento de dados está atento. Prova disso é que criam e aperfeiçoam meios de minimizar riscos e danos decorrentes de invasões, e até mesmo impedir que aconteçam. Os profissionais dedicados a essa tarefa atuam de forma colaborativa, compartilhando com o mundo todo informações e conhecimentos sobre o tema.
Uma dessas iniciativas é a CVE, sigla que em inglês significa Vulnerabilidades e Exposições Comuns. É uma mescla de dicionário e catálogo com listas de nomes para vulnerabilidades e outras exposições de segurança da informação. A CVE é gratuita e pública para uso de qualquer pessoa interessada em pesquisar sobre vulnerabilidades e ferramentas de segurança.
A CVE é mantida e atualizada por meio de um trabalho colaborativo de toda a comunidade profissional, chamado de CVE Editorial Board. Essa instituição tem representantes de várias organizações ligadas à segurança, a exemplo de desenvolvedores de ferramentas de segurança, órgãos acadêmicos e governos.
Mas que vulnerabilidades são essas?
Conforme a certificação de segurança da informação ISO 27000 (leia o post que criamos sobre essa ISO clicando aqui), as vulnerabilidades são as fraquezas de um ativo que poderiam ser potencialmente exploradas por uma ou mais ameaças, oriundas de falhas humanas, tecnologias desatualizadas ou até mesmo por ações mal-intencionadas.
Nesse sentido, quem trabalha com segurança da informação já presenciou denominações de vulnerabilidades ou links que levam a sites que detalham a falha encontrada. São links com o título CVE seguido por um traço, quatro algarismos que identificam um ano, mais um traço e outros quatro números. Um exemplo seria CVE-2019-0001, sendo 2019 o ano em que foi reportada a falha – uma das maneiras de reportar o problema é através do site https://www.exploit-db.com.
Cada item da CVE tem um status, que pode ser “entry” ou “candidate”. Enquanto a classificação “entry” significa que o nome foi incluído na lista CVE, o “candidate” aponta que a nomenclatura está em revisão para inclusão na listagem – com a possibilidade de entrar ou não. Além do nome com os números e o status, deve possuir uma breve descrição da vulnerabilidade e referências ou relatórios de supervisão.
Há ainda os status “Reserved”, “Disputed” e “Rejected”. O primeiro significa que a ameaça foi reservada para uso, mas ainda faltam detalhes da vulnerabilidade. O segundo trata de itens em que existem discordância de uma parte envolvida sobre o problema, sendo que o ideal é, nesse caso, que haja mais pesquisas por outras referências – ou que seja feito um contato com o fornecedor ou desenvolvedor afetado. Já as entradas com o indicativo “rejected” devem ser ignoradas, já que não foram aceitas na CVE.
O que a CVE faz pela segurança da minha empresa?
A CVE faz a diferença na hora de selecionar as melhores escolhas dos recursos de segurança para a estrutura de tecnologia da informação do seu negócio – independentemente do tamanho ou ramo de atividade.
Entretanto, deve-se estar ciente que a CVE é um guia que ajuda a identificar as falhas, sem poder determinar com precisão qual vulnerabilidade foi explorada em uma eventual invasão. Afinal, sua função é dar informações sobre falhas após terem sido encontradas, algo que facilita na correção e busca por detalhes técnicos.
Dessa maneira, a CVE é então uma das melhores e mais confiáveis fontes de pesquisa sobre falhas e exposições. Ela permite utilizar o nome da vulnerabilidade específica em uma pesquisa, fazendo com que as empresas possam obter informações com rapidez e precisão a partir de uma variedade de fontes de dados compatíveis com CVE.
Então, como se proteger das vulnerabilidades?
É um processo relativamente complexo manter as ameaças distantes, sendo que os riscos devem ser controlados para proteger e dar segurança aos sistemas da empresa. É essencial realizar ações preventivas e fazer a gestão das vulnerabilidades, que é o processo de identificar, classificar, analisar e tratar as falhas.
Atuando de maneira frequente e profissional, pode-se conhecer quais CVE atingem sua empresa, comparar as evoluções a cada semana, bem como problemas e soluções diferenciadas. Nesse contexto, a OSTEC tem uma vasta gama de produtos e serviços focados em segurança digital que garantem total proteção para os seus resultados. Fale com um de nossos especialistas e saiba mais.