Jump to section

O que é CVE?

Copiar URL

O CVE, sigla inglesa para vulnerabilidades e exposições comuns, é uma lista pública de falhas de segurança. Quando alguém se refere a um CVE, isso significa uma falha de segurança atribuída a um número de ID correspondente.

Os fornecedores e pesquisadores quase sempre mencionam pelo menos um ID CVE nos relatórios de segurança. Os CVEs ajudam os profissionais de TI a trabalharem em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores mais seguros.

O CVE é administrado pela MITRE Corporation e financiado pela Agência de Segurança Cibernética e de Infraestrutura, que integra o Departamento de Segurança Interna dos EUA.

As entradas do CVE são curtas. Não incluem dados técnicos, nem informações sobre riscos, impactos ou correções. Essas informações aparecem em outros bancos de dados, como o National Vulnerability Database (NVD) dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas criadas por fornecedores e outras organizações. Nesses vários sistemas, os IDs CVE oferecem aos usuários uma forma confiável de diferenciar as falhas de segurança.

Sobre os identificadores CVE

Os identificadores CVE são atribuídos por uma Autoridade de numeração CVE (CNA). Há aproximadamente 100 CNAs que representam os principais fornecedores de TI, empresas de segurança e organizações de pesquisa. A MITRE também emite CVEs diretamente.

As CNAs recebem blocos de CVEs, que são reservados para atribuição aos novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, por exemplo, pode acumular centenas de CVEs.

Relatórios de CVEs podem surgir de várias fontes. Um fornecedor, um pesquisador ou um usuário astuto podem descobrir uma falha e informar alguém a respeito. Muitos fornecedores oferecem recompensas por bugs para encorajar a divulgação responsável de falhas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade.

De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. A CNA atribui um ID CVE à informação e cria uma breve descrição com referências. Depois, essa entrada é publicada no site do CVE.

Muitas vezes, o ID CVE é atribuído antes da disponibilização pública do relatório de segurança. É comum fornecedores manterem falhas de segurança em segredo até desenvolverem e testarem uma correção. Isso reduz as chances de invasores explorarem as falhas não corrigidas.

Depois de publicada, a entrada inclui o ID CVE (no formato "CVE-2019-1234567"), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.

Os IDs CVE são atribuídos a falhas que atendem a certos critérios. Elas devem ser:

1. Corrigíveis de forma independente.

A falha pode ser corrigida independentemente de outros bugs.

2. Reconhecidas pelo fornecedor afetado OU documentadas.

O fornecedor do software ou hardware reconheceu o bug e admitiu o impacto negativo à segurança. Ou ele compartilhou um relatório de vulnerabilidade que demonstra o impacto negativo do bug e a violação da política de segurança do sistema afetado.

3. Afetam apenas uma base de código.

Falhas que impactam mais de uma solução recebem CVEs separados. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução afetada recebe um CVE único.

Fique por dentro de tudo sobre a segurança da Red Hat.

Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o Sistema de pontuação de vulnerabilidades comuns (CVSS), um conjunto de padrões abertos usado para atribuir um número a uma vulnerabilidade de acordo com sua gravidade. O NVD, CERT e outros bancos de dados usam essas pontuações para avaliar o impacto das vulnerabilidades. A pontuação vai de 0 a 10; quanto maior o número, mais grave. Muitos fornecedores de segurança criaram seus próprios sistemas de pontuação.

Três principais conclusões 

Conheça as suas implantações O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Certifique-se de ler cada CVE para saber se seu ambiente foi afetado. Verifique a relação (total ou parcial) com o sistema operacional, aplicação, módulos e configurações instaladas no seu ambiente.

Faça o gerenciamento de vulnerabilidades. O gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso significa entender como um risco se aplica à sua organização para priorizar corretamente as vulnerabilidades pendentes que precisam ser resolvidas.

Esteja pronto para se comunicar CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo tempo de inatividade necessário para resolvê-las. Comunique-se e coordene-se com seus clientes internos e compartilhe as vulnerabilidades com a gestão da central de riscos da sua organização.

Como a Red Hat trabalha com CVEs

Como uma das principais colaboradoras do software open source, a Red Hat está sempre envolvida na comunidade de segurança. Nós somos uma Autoridade de numeração CVE (CNA) e usamos IDs CVE para rastrear vulnerabilidades de segurança. A Red Hat Security mantém um banco de dados de atualizações de segurança aberto que você pode consultar pelo número do CVE.

O Red Hat Product Security oferece acesso a dados brutos de segurança na página Dados de segurança e em formatos compatíveis com máquinas por meio da API.

Além das métricas e relatórios de segurança que a Red Hat oferece, os clientes podem usar esses dados para gerar as próprias métricas de acordo com seus casos.

A API de dados de segurança inclui definições de Linguagem de avaliação e vulnerabilidade aberta (OVAL), documentos de Framework de relatórios de vulnerabilidades comuns (CVRF) e dados de CVE. Os dados estão disponíveis no formato XML e JSON.

Keep reading

ARTIGO

O que é DevSecOps?

Se você quiser aproveitar ao máximo a agilidade e a capacidade de resposta do DevOps, a equipe de segurança da TI precisará participar de todo o ciclo de vida das suas aplicações.

ARTIGO

O que há de diferente na segurança em nuvem?

As preocupações gerais sobre a segurança afetam os sistemas de TI tradicionais e em nuvem. Descubra qual é a diferença.

ARTIGO

O que é SOAR?

Ele se refere a três importantes recursos de software usados pelas equipes de segurança: gerenciamento de casos e de fluxos de trabalho, automação de tarefas e acesso a meios centralizados de consulta e compartilhamento de informações sobre ameaças.

Leia mais sobre segurança

Soluções Red Hat

Red Hat Certificate System

Um framework de segurança para gerenciar identidades de usuários e manter a privacidade das comunicações.

Red Hat Advanced Cluster Security Kubernetes

Uma solução de segurança empresarial em containers nativa do Kubernetes  que viabiliza a criação, implantação e execução de aplicações nativas em nuvem.

Red Hat Insights

Um serviço de análises preditivas que ajuda a identificar e corrigir ameaças de segurança, desempenho e disponibilidade à sua infraestrutura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Um console individual, com políticas de segurança integradas, para controlar aplicações e clusters do Kubernetes.

Conteúdo adicional

Illustration - mail

Quer receber mais conteúdo deste tipo?

Cadastre-se para receber a nossa newsletter Red Hat Shares.