Resumen
Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de las fallas de seguridad informática que está disponible al público. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación de CVE.
Las advertencias de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas en TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables, a fin de reforzar la seguridad de los sistemas informáticos.
Resumen
Le presentamos un breve video sobre las amenazas CVE, en caso de que prefiera no leer el artículo.
¿Cómo funciona el sistema de CVE?
MITRE Corporation se encarga de supervisar los CVE con la financiación de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), que forma parte del Departamento de Seguridad Nacional de Estados Unidos.
Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre los riesgos, el impacto o las soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas.
Estos números de identificación de CVE permiten que los usuarios reconozcan de manera confiable puntos vulnerables únicos y coordinen el desarrollo de soluciones y herramientas de seguridad en los diferentes sistemas. MITRE Corporation mantiene la Lista de CVE, pero suelen ser las empresas y los miembros de la comunidad open source los que notifican las fallas de seguridad que se convierten en CVE.
Los identificadores de CVE
Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores. En la actualidad, hay alrededor de 100 CNA que representan a los principales proveedores de TI (como Red Hat, IBM, Cisco, Oracle y Microsoft), así como también a las empresas de seguridad y las instituciones de investigación.MITRE también puede emitir los CVE directamente.
Las CNA reciben bloques de CVE y los reservan para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de números de identificación de CVE. Un solo producto complejo, como un sistema operativo, puede acumular cientos de CVE.
Los informes de CVE pueden provenir de cualquier persona que descubra una falla y la notifique, como algún proveedor, investigador o simplemente un usuario astuto. Muchos proveedores ofrecen recompensas por detectar errores de seguridad para incentivar su divulgación responsable. Si encuentra un punto vulnerable en los sistemas de software open source, debe notificarlo a la comunidad.
La información de la falla llegará a la CNA de uno u otro modo. La CNA asigna un número de identificación de CVE a la información, escribe una descripción breve e incluye las referencias. Luego, los nuevos CVE se publican en el sitio web correspondiente.
Muchas veces, el identificador de CVE se asigna antes de que se publique la advertencia de seguridad, ya que los proveedores suelen mantener en secreto las fallas de seguridad hasta que se desarrolla y se prueba una solución. De esta manera, se reducen las oportunidades de quienes buscan aprovecharse de las fallas sin parches.
Una vez que se publica una entrada de CVE, se incluye el número de identificación (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable, y las referencias, las cuales pueden contener enlaces a recomendaciones e informes sobre el punto vulnerable.
Las características de los CVE
Los números de identificación de CVE se asignan a las fallas que cumplen con este conjunto específico de criterios:
1. Se pueden solucionar de forma independiente.
La falla puede solucionarse independientemente de las demás.
2. El proveedor afectado las confirma o las documenta.
El proveedor de software o hardware reconoce la falla, así como su impacto negativo en la seguridad. O bien, la persona que notificó el punto vulnerable compartió un informe sobre él donde se demuestra que tiene un impacto negativo y que infringe la política de seguridad del sistema afectado.
3. Afectan una base del código.
Las fallas que afectan a más de un producto obtienen CVE distintos. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE única a cada producto o base de código afectados.
Sistema común de calificación de los puntos vulnerables
Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es con el sistema común de calificación de los puntos vulnerables (CVSS): un conjunto de estándares abiertos que permite otorgarles una puntuación según su gravedad. La NVD, el CERT y otras entidades utilizan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0 y 10, donde las cifras más altas representan mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.
Tres recomendaciones clave
Conozca sus implementaciones: la existencia de un CVE no significa que el riesgo afecte a su implementación y entorno específicos. Lea cada CVE y verifique si corresponde a su entorno corroborando si se aplica de forma total o parcial al sistema operativo, la aplicación, los módulos y las configuraciones de su entorno único.
Aplique la gestión de los puntos vulnerables:la gestión de los puntos vulnerables es un proceso constante que permite identificarlos, clasificarlos, priorizarlos, solucionarlos y reducirlos. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a su empresa, ya que así podrá darles prioridad a los puntos vulnerables destacados que deba solucionar.
Prepárese para comunicar la información: los CVE no solo afectarán los sistemas de su empresa debido a los propios puntos vulnerables, sino también al tiempo de inactividad que se pudiera requerir para solucionarlos. Comuníquese y trabaje con sus clientes internos y comparta los puntos vulnerables con cualquier unidad central de gestión de riesgos dentro de la empresa.
Cómo se abordan los CVE en Red Hat
Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las autoridades de numeración de CVE (CNA) y utiliza los identificadores para hacer un seguimiento de los puntos vulnerables de seguridad. Red Hat Security mantiene una base de datos pública de las actualizaciones de seguridad que se actualiza con frecuencia y puede consultarse por número de CVE.
Open Technology Sessions en español
Explora esta serie de webinars on-demand y descubre cómo impulsar la innovación tecnológica en tu organización. ¡Aprende más sobre automatización, infraestructura, plataforma de aplicaciones, cloud services y mucho más!
¿Para qué sirve Red Hat Security Data API?
Red Hat Product Security brinda acceso a los datos de seguridad sin procesar en la página de datos de seguridad, en un formato que pueden utilizar las máquinas que poseen la Security Data API.
Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que produce Red Hat para diseñar parámetros propios que se apliquen a sus casos particulares.
Los datos que ofrece la Security Data API están disponibles en los formatos XML o JSON, e incluyen las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos del lenguaje Common Vulnerability Reporting Framework (CVRF) y los datos de los CVE.