Iniciar sesión / Registrar Cuenta
Jump to section

El concepto de CVE

Copiar URL

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de fallas de seguridad informática que se encuentra disponible al público. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación.

Las advertencias de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas en TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables, a fin de reforzar la seguridad de los sistemas informáticos.

MITRE Corporation se encarga de supervisar los CVE con la financiación de la Agencia de Ciberseguridad y Seguridad de la Infraestructura, que forma parte del Departamento de Seguridad Nacional de Estados Unidos.

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre los riesgos, el impacto o las soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas. Los números de identificación de CVE ofrecen a los usuarios una forma confiable de diferenciar cada falla de seguridad en los distintos sistemas.

Los identificadores de CVE

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores. En la actualidad, hay alrededor de 100 CNA que representan a los principales proveedores de TI, así como también a las empresas de seguridad y las instituciones de investigación; MITRE también puede emitir los CVE directamente.

Las CNA reciben bloques de CVE y los mantienen en espera para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de números de identificación de CVE. Un solo producto complejo, como un sistema operativo, puede acumular cientos de CVE.

Los informes de CVE pueden provenir de cualquier persona que descubra una falla y la notifique, como algún proveedor, investigador o simplemente un usuario astuto. Muchos proveedores ofrecen recompensas por detectar fallas de seguridad para incentivar su divulgación responsable. Si encuentra un punto vulnerable en los sistemas de software open source, debe notificarlo a la comunidad.

La información de la falla llegará a la CNA de uno u otro modo. La CNA asigna un número de identificación de CVE a la información, escribe una descripción breve e incluye las referencias. Luego, la entrada de CVE se publica en el sitio web de CVE.

Muchas veces, el identificador de CVE se asigna antes de que se publique la advertencia de seguridad, ya que los proveedores suelen mantener en secreto las fallas de seguridad hasta que se desarrolla y se prueba una solución. De esta manera, se reducen las oportunidades de quienes buscan aprovecharse de las fallas sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable en cuestión, y las referencias, las cuales pueden contener enlaces a advertencias e informes del punto vulnerable.

Los números de identificación de CVE se asignan a las fallas que cumplen con el siguiente conjunto de criterios específico:

1. Se pueden solucionar de forma independiente.

La falla puede solucionarse independientemente de las demás.

2. El proveedor afectado las confirma o las documenta.

El proveedor de software o hardware reconoce la falla, así como su impacto negativo en la seguridad. O bien, la persona que notificó el punto vulnerable compartió un informe sobre él donde se demuestra que tiene un impacto negativo Y QUE infringe la política de seguridad del sistema afectado.

3. Afectan una base del código.

Las fallas que afectan a más de un producto obtienen distintos CVE. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE única a cada producto o base de código afectados.

Manténgase informado sobre la seguridad de Red Hat.

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es el Sistema común de calificación de los puntos vulnerables (CVSS), el cual es un conjunto de estándares abiertos que les otorga un puntaje según su gravedad. La NVD, el CERT y otras entidades utilizan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0 y 10, donde las cifras más altas representan un mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones clave

Conozca sus implementaciones: la existencia de un CVE no significa que el riesgo afecte su implementación y entorno específicos. Lea cada CVE y verifique si corresponde a su entorno corroborando si se aplica de forma total o parcial al sistema operativo, la aplicación, los módulos y los parámetros configurados en su entorno único.

Aplique la gestión de los puntos vulnerables: la gestión de los puntos vulnerables es un proceso repetible que permite identificarlos, clasificarlos, priorizarlos, solucionarlos y reducirlos. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a su empresa, ya que así podrá darle prioridad a los puntos vulnerables destacados que deba solucionar.

Prepárese para comunicarse: los CVE no solo afectarán los sistemas de su empresa debido a los propios puntos vulnerables, sino también porque solucionarlos podría requerir downtime. Comuníquese y trabaje con sus clientes internos y comparta los puntos vulnerables con cualquier unidad central de gestión de riesgos dentro de la empresa.

Cómo se abordan los CVE en Red Hat

Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las autoridades de numeración de CVE (CNA) y utiliza los identificadores para hacer un seguimiento de los puntos vulnerables de seguridad. Red Hat Security mantiene una base de datos de las actualizaciones de seguridad que es pública, se actualiza con frecuencia y que puede consultarse por número de CVE.

Red Hat Product Security brinda acceso a información sin procesar acerca de la seguridad en la página de datos de seguridad, en un formato que pueden utilizar las máquinas que poseen la Security Data API.

Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que produce Red Hat para diseñar parámetros propios que se apliquen a sus casos particulares.

Los datos que ofrece la Security Data API están disponibles en los formatos XML o JSON, e incluyen las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos del lenguaje Common Vulnerability Reporting Framework (CVRF) y los datos de CVE.

Conozca la infraestructura de Red Hat

Red Hat Enterprise Linux es una base estable y probada, suficientemente versátil para implementar aplicaciones nuevas, virtualizar entornos y crear una nube híbrida segura, gracias al respaldo de nuestra asistencia galardonada.

La forma más fácil de gestionar su infraestructura de Red Hat para lograr operaciones de TI conformes y eficientes. Establezca procesos y repositorios de contenido confiables que le permitan crear un entorno seguro y conforme a los estándares correspondientes.

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.