Cuenta Iniciar sesión
Jump to section

El concepto de CVE

Copiar URL

Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de fallas de seguridad informática que se encuentra disponible al público. Cuando alguien habla de un CVE, se refiere a una falla a la cual se le asignó un número de identificación.

Las advertencias de seguridad que emiten los proveedores y los investigadores casi siempre mencionan al menos uno de estos identificadores. Los CVE permiten que los especialistas en TI coordinen sus iniciativas para priorizar y solucionar los puntos vulnerables, a fin de reforzar la seguridad de los sistemas informáticos.

MITRE Corporation se encarga de supervisar los CVE con la financiación de la Agencia de Ciberseguridad y Seguridad de la Infraestructura, que forma parte del Departamento de Seguridad Nacional de Estados Unidos.

Las entradas de CVE son breves y no incluyen datos técnicos ni información sobre los riesgos, el impacto o las soluciones. Ese tipo de información aparece en otras bases de datos, como la National Vulnerability Database (NVD) de Estados Unidos, la CERT/CC Vulnerability Notes Database y diversas listas que mantienen los proveedores y otras empresas. Los números de identificación de CVE ofrecen a los usuarios una forma confiable de diferenciar cada falla de seguridad en los distintos sistemas.

Los identificadores de CVE

Las autoridades de numeración de CVE (CNA) son las encargadas de asignar los identificadores. En la actualidad, hay alrededor de 100 CNA que representan a los principales proveedores de TI, así como también a las empresas de seguridad y las instituciones de investigación; MITRE también puede emitir los CVE directamente.

Las CNA reciben bloques de CVE y los mantienen en espera para asignarlos a los problemas nuevos a medida que se descubren. Cada año se emiten miles de números de identificación de CVE. Un solo producto complejo, como un sistema operativo, puede acumular cientos de CVE.

Los informes de CVE pueden provenir de cualquier persona que descubra una falla y la notifique, como algún proveedor, investigador o simplemente un usuario astuto. Muchos proveedores ofrecen recompensas por detectar fallas de seguridad para incentivar su divulgación responsable. Si encuentra un punto vulnerable en los sistemas de software open source, debe notificarlo a la comunidad.

La información de la falla llegará a la CNA de uno u otro modo. La CNA asigna un número de identificación de CVE a la información, escribe una descripción breve e incluye las referencias. Luego, la entrada de CVE se publica en el sitio web de CVE.

Muchas veces, el identificador de CVE se asigna antes de que se publique la advertencia de seguridad, ya que los proveedores suelen mantener en secreto las fallas de seguridad hasta que se desarrolla y se prueba una solución. De esta manera, se reducen las oportunidades de quienes buscan aprovecharse de las fallas sin parches.

Una vez que se publica una entrada de CVE, se incluye el número de identificación (con el formato "CVE-2019-1234567"), una descripción breve de la exposición o el punto vulnerable en cuestión, y las referencias, las cuales pueden contener enlaces a advertencias e informes del punto vulnerable.

Los números de identificación de CVE se asignan a las fallas que cumplen con el siguiente conjunto de criterios específico:

1. Se pueden solucionar de forma independiente.

La falla puede solucionarse independientemente de las demás.

2. El proveedor afectado las confirma o las documenta.

El proveedor de software o hardware reconoce la falla, así como su impacto negativo en la seguridad. O bien, la persona que notificó el punto vulnerable compartió un informe sobre él donde se demuestra que tiene un impacto negativo Y QUE infringe la política de seguridad del sistema afectado.

3. Afectan una base del código.

Las fallas que afectan a más de un producto obtienen distintos CVE. En los casos de bibliotecas, protocolos o estándares compartidos, se asigna un solo CVE a la falla si no hay manera de utilizar el código compartido sin quedar expuesto al punto vulnerable. De lo contrario, se asigna un CVE única a cada producto o base de código afectados.

Manténgase informado sobre la seguridad de Red Hat.

Hay muchas formas de evaluar la gravedad de un punto vulnerable. Una de ellas es el Sistema común de calificación de los puntos vulnerables (CVSS), el cual es un conjunto de estándares abiertos que les otorga un puntaje según su gravedad. La NVD, el CERT y otras entidades utilizan las puntuaciones del CVSS para evaluar el impacto de los puntos vulnerables. El rango de puntuación oscila entre 0 y 10, donde las cifras más altas representan un mayor nivel de gravedad. Muchos proveedores de seguridad crean sus propios sistemas de calificación.

Tres recomendaciones clave

Conozca sus implementaciones: la existencia de un CVE no significa que el riesgo afecte su implementación y entorno específicos. Lea cada CVE y verifique si corresponde a su entorno corroborando si se aplica de forma total o parcial al sistema operativo, la aplicación, los módulos y los parámetros configurados en su entorno único.

Aplique la gestión de los puntos vulnerables: la gestión de los puntos vulnerables es un proceso repetible que permite identificarlos, clasificarlos, priorizarlos, solucionarlos y reducirlos. Para ello, es necesario comprender la forma en que cierto riesgo puede afectar a su empresa, ya que así podrá darle prioridad a los puntos vulnerables destacados que deba solucionar.

Prepárese para comunicarse: los CVE no solo afectarán los sistemas de su empresa debido a los propios puntos vulnerables, sino también porque solucionarlos podría requerir downtime. Comuníquese y trabaje con sus clientes internos y comparta los puntos vulnerables con cualquier unidad central de gestión de riesgos dentro de la empresa.

Cómo se abordan los CVE en Red Hat

Red Hat es uno de los principales colaboradores de los sistemas de software open source, así que siempre se involucra en la comunidad de seguridad. Además, es una de las autoridades de numeración de CVE (CNA) y utiliza los identificadores para hacer un seguimiento de los puntos vulnerables de seguridad. Red Hat Security mantiene una base de datos de las actualizaciones de seguridad que es pública, se actualiza con frecuencia y que puede consultarse por número de CVE.

Red Hat Product Security brinda acceso a información sin procesar acerca de la seguridad en la página de datos de seguridad, en un formato que pueden utilizar las máquinas que poseen la Security Data API.

Los clientes pueden aprovechar estos datos junto con los indicadores y los informes de seguridad que produce Red Hat para diseñar parámetros propios que se apliquen a sus casos particulares.

Los datos que ofrece la Security Data API están disponibles en los formatos XML o JSON, e incluyen las definiciones del estándar Open Vulnerability and Assessment Language (OVAL), los documentos del lenguaje Common Vulnerability Reporting Framework (CVRF) y los datos de CVE.

Artículos relacionados

ARTÍCULO

¿Qué es DevSecOps?

Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI debe desempeñar un papel principal en todo el ciclo de vida de sus aplicaciones.

ARTÍCULO

¿En qué se distingue la seguridad de la nube?

Los problemas de seguridad de alto nivel afectan a los sistemas de TI tradicionales y de nube por igual. Descubra en qué se diferencian.

ARTÍCULO

¿Qué es SOAR?

SOAR hace referencia a tres funciones clave del software que utilizan los equipos de seguridad: la gestión de casos y flujos de trabajo, la automatización de tareas y un medio centralizado para acceder a la información sobre las amenazas, realizar consultas y compartir dicha información.

Más información sobre la seguridad

Productos

Red Hat Certificate System

Marco de seguridad que gestiona las identidades de los usuarios y permite mantener la privacidad de las comunicaciones.

Red Hat Advanced Cluster Security Kubernetes

Solución empresarial de seguridad de los contenedores de Kubernetes que permite diseñar, implementar y ejecutar aplicaciones en la nube con mayor seguridad.

Red Hat Insights

Servicio de análisis predictivo que permite identificar y corregir amenazas a la seguridad, el rendimiento y la disponibilidad de su infraestructura de Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Consola con políticas de seguridad integradas para controlar las aplicaciones y los clústeres de Kubernetes.

Contenido adicional

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.

Red Hat logo LinkedInYouTubeFacebookTwitter

Productos

Herramientas

Comprar, vender, explorar

Comunicarse

Acerca de Red Hat

Somos el proveedor líder a nivel mundial de soluciones empresariales de código abierto, incluyendo Linux, cloud, contenedores y Kubernetes. Ofrecemos soluciones reforzadas, las cuales permiten que las empresas trabajen en distintas plataformas y entornos con facilidad, desde el centro de datos principal hasta el extremo de la red.

Suscríbase a nuestra newsletter, Red Hat Shares

Suscríbase ahora

Seleccionar idioma

© 2022 Red Hat, Inc. Red Hat Summit