Iniciar sesión / Registrar Cuenta

Seguridad

El concepto de CVE

Jump to section

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de fallas de seguridad informática que se encuentra disponible al público en general. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación.

Los informes de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas en TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables, y para mejorar la seguridad de los sistemas informáticos.

¿Cómo funciona el sistema de CVE?

MITRE Corporation se encarga de supervisar las CVE con la financiación de la Agencia de Seguridad de Ciberseguridad e Infraestructura, que forma parte del Departamento de Seguridad Nacional de Estados Unidos.

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre riesgos, efectos o soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de los Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas. Los números de identificación de CVE ofrecen a los usuarios una forma confiable de diferenciar cada falla de seguridad en los distintos sistemas.

Los identificadores de CVE

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores. En la actualidad, hay alrededor de 100 CNA que representan a los principales proveedores de TI, así como a las empresas de seguridad y de investigación; MITRE también puede emitir CVE directamente.

Las CNA reciben bloques de CVE y los mantienen en espera para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de números de identificación de CVE. Un solo producto complejo, como un sistema operativo, puede acumular cientos de CVE.

Los informes de CVE pueden provenir de cualquier persona que descubra una falla y la notifique, como algún proveedor, investigador o simplemente un usuario astuto. Muchos proveedores ofrecen recompensas por detectar fallas de seguridad a fin de incentivar su divulgación responsable. Si encuentra un punto vulnerable en los sistemas de software open source, debe notificarlo a la comunidad.

La información de la falla llegará a la CNA de uno u otro modo. La CNA asigna un número de identificación de CVE a la información, escribe una descripción breve e incluye las referencias. Luego, la entrada de CVE se publica en el sitio web de CVE.

Muchas veces, el identificador de CVE se asigna antes de que se publique la advertencia de seguridad, dado que los proveedores suelen mantener en secreto las fallas de seguridad hasta que se desarrolla y se prueba una solución. De esta manera, se reducen las oportunidades de quienes buscan aprovecharse de las fallas sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación de CVE (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable de seguridad, y las referencias, que pueden contener enlaces a avisos e informes del punto vulnerable.

¿Qué características debe tener una falla para que se la califique como CVE?

Los números de identificación de CVE se asignan a las fallas que cumplen con el siguiente conjunto específico de criterios:

1. Se pueden solucionar de forma independiente.

La falla puede solucionarse independientemente de las demás.

2. El proveedor afectado las confirma o las documenta.

El proveedor de software o hardware reconoce la falla, así como su impacto negativo en la seguridad. O bien, es necesario que la persona que notificó la falla comparta un informe sobre el punto vulnerable donde se demuestre que tiene un impacto negativo e infringe la política de seguridad del sistema afectado.

3. Afectan una base del código.

Las fallas que afectan más de un producto obtienen distintos CVE. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE única a cada producto o base de código afectados.

¿Qué es el sistema común de puntuación de los puntos vulnerables?

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es el Sistema común de calificación de los puntos vulnerables (CVSS), el cual es un conjunto de estándares abiertos que les otorga un puntaje según su gravedad. La NVD, el CERT y otras entidades utilizan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0 y 10, donde las cifras más altas representan un mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones clave

Conozca sus implementaciones: la existencia de un CVE no significa que el riesgo afecte su implementación y entorno específicos. Lea cada CVE y verifique si corresponde a su entorno corroborando si se aplica de forma total o parcial al sistema operativo, la aplicación, los módulos y los parámetros configurados en su entorno único.

Aplique la gestión de los puntos vulnerables: se trata de un proceso repetible que permite identificar, clasificar, clasificar, solucionar y reducir los puntos vulnerables. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a su empresa, de modo que pueda darle prioridad al punto vulnerable destacado que debe solucionar.

Prepárese para comunicarse: los CVE no solo afectarán los sistemas de su empresa debido a los propios puntos vulnerables, sino también al tiempo de inactividad que se pudiera requerir para solucionarlos. Comuníquese y trabaje con sus clientes internos y comparta los puntos vulnerables con cualquier unidad central de gestión de riesgos dentro de la empresa.

Cómo se abordan los CVE en Red Hat

Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las autoridades de numeración de CVE (CNA) y utiliza los identificadores para detectar puntos vulnerables de seguridad. Red Hat Security mantiene una base de datos de las actualizaciones de seguridad que es pública, se encuentra actualizada y que puede consultar por número de CVE.

¿Para qué sirve Red Hat Security Data API?

Red Hat Product Security brinda acceso a información sin procesar acerca de la seguridad en la página de Datos de seguridad, en un formato que pueden utilizar las máquinas que poseen la Security Data API.

Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que produce Red Hat para diseñar indicadores que se apliquen a sus casos particulares.

Los datos que ofrece la Security Data API están disponibles en formatos XML o JSON, e incluyen las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos del lenguaje Common Vulnerability Reporting Framework (CVRF) y los datos de CVE.

Conozca la infraestructura de Red Hat

Red Hat Enterprise Linux es una base estable y probada, suficientemente versátil para implementar aplicaciones nuevas, virtualizar entornos y crear una nube híbrida segura, gracias al respaldo de nuestro soporte galardonado.

La forma más fácil de gestionar su infraestructura de Red Hat para lograr operaciones de TI conformes y eficientes. Establezca procesos y repositorios de contenido confiables que le permitan crear un entorno seguro y conforme a los estándares correspondientes.