This post is also available in: Português Español
O aumento da exploração de vulnerabilidades de segurança em softwares e aplicações aumenta exponencialmente a cada ano, trazendo prejuízos representativos para empresas e governos.
Os impactos são mais evidentes nos dias atuais, contudo a preocupação com as vulnerabilidades atraia a atenção de pesquisadores a mais de 20 anos.
Em janeiro de 1999 os co-criadores da CVE (Common Vulnerability Enumeration), David E. Mann e Steven M. Christey da The MITRE Corporation, apresentaram no 2º Workshop sobre Pesquisa com Bancos de Dados de Vulnerabilidade de Segurança, em janeiro de 1999, a primeira versão do que se tornaria a CVE List.
A partir desse conceito, foram criados os 321 registros de CVE e a lista foi lançada oficialmente ao público em setembro de 1999.
Continue a leitura deste conteúdo para entender um pouco mais sobre a CVE e CVSS e como estes sistemas e conceitos são utilizados para a classificação de vulnerabilidades em segurança digital.
O que é a CVE List?
A CVE List é uma lista de identificadores únicos para vulnerabilidades de segurança cibernética.
A finalidade da CVE é padronizar a identificação e descrição de vulnerabilidades de segurança em software e sistemas, para que a comunidade de segurança possa compartilhar informações de forma consistente e eficiente. Isso permite que os usuários e as organizações tenham acesso a informações precisas e atualizadas sobre vulnerabilidades de segurança.
A lista CVE é mantida pelo MITRE Corporation, uma organização sem fins lucrativos financiada pelo governo dos Estados Unidos. A lista é amplamente utilizada na indústria de segurança cibernética, sendo uma referência importante para pesquisadores, fornecedores de software, empresas de segurança e usuários finais.
A comunidade de segurança cibernética elevou a importância da CVE por meio do desenvolvimento de produtos e serviços “compatíveis com CVE”, desde o momento em que foi lançada. Hoje, vários produtos e serviços de todo o mundo utilizam a CVE Records.
Outro fato que colabora para a adoção é a inclusão contínua de IDs CVE em avisos de segurança. Os principais fornecedores de sistemas operacionais (SO) e outras organizações de todo o mundo incluem IDs CVE em seus alertas para garantir que a comunidade internacional se beneficie, assim que um problema é anunciado.
Os registros CVE também são usados para identificar vulnerabilidades em listas públicas de observação, como a OWASP , e são classificados por gravidade no Common Vulnerability Scoring System (CVSS).
Identificador de classificação CVE
A CVE é uma lista de identificadores únicos para vulnerabilidades de segurança cibernética. As vulnerabilidades são classificadas de acordo com sua gravidade e impacto, respeitando a seguinte nomenclatura:
- CVE-YYYY-NNNN: Identificador único composto por um ano (YYYY) e um número sequencial de quatro dígitos (NNNN).
- Gravidade: As vulnerabilidades são classificadas de acordo com sua gravidade, usando a escala de CVSS (Common Vulnerability Scoring System), que varia de 0 a 10. Quanto maior o número, maior é a gravidade da vulnerabilidade.
- Impacto: As vulnerabilidades são classificadas de acordo com o impacto que podem ter no sistema afetado, tais como confidencialidade, integridade e disponibilidade dos dados.
As classificações da CVE são usadas para auxiliar na identificação, análise e correção de vulnerabilidades de segurança em software e sistemas. Isso permite que a comunidade de segurança cibernética tenha um padrão comum de comunicação e compartilhamento de informações sobre vulnerabilidades, ajudando a proteger usuários e organizações de possíveis ataques.
CVSS o que é e para o que serve?
O Common Vulnerability Scoring System (CVSS) é uma estrutura aberta para comunicar as características e a gravidade das vulnerabilidades de software, hardware e firmware. Suas saídas incluem pontuações numéricas que indicam a gravidade de uma vulnerabilidade em relação a outras vulnerabilidades.
A estrutura do CVSS consiste em três grupos de métricas:
Métrica Base
Representa as características do ativo que é vulnerável e que são constantes ao longo do tempo. O grupo de métrica base é composto por dois conjuntos de métricas:
Explorabilidade: reflete a facilidade e os meios técnicos pelos quais a vulnerabilidade pode ser explorada. Neste item são avaliados o tipo de vetor de ataque, complexidade do ataque, privilégios necessários e necessidade de interação do usuário.
Impacto: reflete a consequência direta de uma exploração bem-sucedida no componente que foi impactado. Embora o componente vulnerável normalmente seja um aplicativo, o componente afetado pode ser um hardware ou um dispositivo de rede, por exemplo.
Métrica Temporal
Estas métricas ajustam a gravidade básica de uma vulnerabilidade com base em fatores que podem mudar com o tempo.
As métricas temporais medem o estado atual das técnicas de exploração, assim como a existência de quaisquer patches ou soluções alternativas ou a confiança na descrição de uma vulnerabilidade.
Supondo que após identificação e comunicação da vulnerabilidade para o mercado, seja lançado um kit de exploração simples de ser utilizado. Este fato aumentaria a pontuação CVSS da vulnerabilidade em questão.
Em contrapartida, se após a identificação da vulnerabilidade for lançado um patch oficial de correção, a pontuação da vulnerabilidade seria reduzida.
Métrica Ambiental
Representa as características de uma vulnerabilidade que são exclusivas do ambiente do usuário. Essas métricas permitem que analistas personalizem a pontuação do CVSS, dependendo da importância do ativo de tecnologia que foi afetado.
Os pilares de Confidencialidade, Integridade e Disponibilidade, são referenciados durante a fase de avaliação ambiental.
Por exemplo, se o ativo de tecnologia atingido pela vulnerabilidade sustenta o pilar de disponibilidade e este pilar é fundamental para a operação do negócio o analista pode atribuir um valor maior à Disponibilidade em relação à Confidencialidade e Integridade.
Pontuação CVSS
As métricas Base produzem uma pontuação que varia de 0 a 10, e pode ser modificada pela pontuação das métricas Temporal e Ambiental. Uma pontuação CVSS também é apresentada como uma string vetorial, uma representação textual dos valores usados para derivar a pontuação.
É comum que apenas as métricas básicas sejam publicadas, pois elas não mudam com o tempo e são comuns a todos os ambientes. Os usuários de CVSS devem complementar a Pontuação Base com Pontuações Temporais e Ambientais específicas para o uso do produto vulnerável para produzir uma severidade mais precisa para seu ambiente organizacional.
As pontuações básicas geralmente são produzidas pela organização que mantém o produto vulnerável ou por uma pontuação de terceiros em seu nome.
Os usuários podem usar as informações do CVSS como entrada para um processo de gerenciamento de vulnerabilidade organizacional que também considera fatores que não fazem parte do CVSS para classificar as ameaças à sua infraestrutura de tecnologia e tomar decisões de correção mais direcionadas.
Tais fatores podem incluir: número de clientes em uma linha de produtos, perdas monetárias devido a uma violação, vida ou propriedade ameaçada, ou opinião pública sobre vulnerabilidades altamente divulgadas. Estes estão fora do escopo do CVSS.
Benefícios do uso do CVSS
Os benefícios do CVSS incluem o fornecimento de uma metodologia padronizada de classificação de vulnerabilidade independente de plataforma e fornecedor. É uma estrutura aberta, que dá transparência às características individuais e à metodologia utilizada para obter uma pontuação.
A CVSS pertence e é gerenciada pela FIRST.Org, Inc. (FIRST), uma organização sem fins lucrativos com sede nos Estados Unidos, cuja missão é ajudar as equipes de resposta a incidentes de segurança de computadores em todo o mundo.
Este conteúdo trouxe uma visão resumida sobre como as vulnerabilidades são tratadas e classificadas, levando em conta referências internacionais altamente consistentes.
A gestão de vulnerabilidades é uma tarefa que exige elevada competência técnica e continuidade, uma vez que as vulnerabilidades não param de surgir e é dever das empresas buscar meios eficientes para manterem seus ambientes e dados seguros.
Ainda com dúvida sobre o processo de identificação classificação e gestão de vulnerabilidades em sua empresa? Converse com nossos especialistas e saiba como podemos auxiliar nesta tarefa.
This post is also available in: Português Español