Entenda como o CVE ajuda profissionais de TI a priorizar e solucionar vulnerabilidades mitigando riscos em cibersegurança
Há mais de 20 anos, surgiu uma plataforma global para catalogar vulnerabilidades públicas. Na área de cibersegurança, o CVE é um sistema de identificação e enumeração de vulnerabilidades em software e hardware. Ele atribui um identificador exclusivo a cada vulnerabilidade conhecida. Para os profissionais, qual a importância do CVE na área de cibersegurança e como isso ajuda na proteção de sistemas e redes contra falhas de segurança? Descubra.
O que é CVE?
CVE é a sigla para “Common Vulnerabilities and Exposures” (Vulnerabilidades e Exposições Comuns, em português). Ele fornece uma maneira padronizada de identificar e nomear vulnerabilidades específicas, permitindo que os profissionais, desenvolvedores e pesquisadores de segurança comuniquem efetivamente sobre as ameaças e coordenem esforços para mitigar essas vulnerabilidades.
O identificador do sistema CVE é composto por um número e uma breve descrição da vulnerabilidade. Por exemplo, “CVE-2021-12345” pode ser o identificador de uma vulnerabilidade específica. Isso ajuda na comunicação eficaz entre diferentes partes interessadas, pois todos podem se referir à mesma vulnerabilidade pelo mesmo nome.
A manutenção do sistema CVE é feita pelo Mitre Corporation, uma organização sem fins lucrativos dos Estados Unidos, que trabalha em estreita colaboração com a comunidade de segurança cibernética global para identificar e catalogar vulnerabilidades de segurança.
O uso do sistema CVE é essencial para a coordenação de patches e atualizações de segurança, o que ajuda a proteger sistemas e redes contra explorações de vulnerabilidades.
Curiosidade: a primeira vulnerabilidade publicada no CVE — identificada como 1999-0001 — era relacionada a um problema detectado em implementações do protocolo TCP/IP.
Como surge um CVE?
Os principais fornecedores de TI, como IBM, Cisco, Oracle e Microsoft, empresas de segurança e organizações de pesquisa, assim como a própria Mitre, atribuem os identificadores CVE.
Inclusive, muitas das vulnerabilidades foram reportadas por usuários atentos que localizam falhas e informam a respeito. Os fornecedores encorajam essas pessoas através de recompensas por bugs com a finalidade de corrigir a vulnerabilidade o quanto antes e evitar maiores problemas de segurança.
Assim que a informação chega e é verificada, uma Autoridade de Numeração CVE (CNA) atribui um ID CVE à vulnerabilidade e cria uma breve descrição com referências. Assim, o novo CVE é publicado.
A publicação do CVE inclui uma breve descrição da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.
Fornecedores costumam manter as falhas de segurança sob sigilo até validar um patch de correção, reduzindo as chances de invasores explorarem as falhas.
Qualificação de um CVE
O sistema de qualificação de um CVE deve atender a alguns critérios, conforme regras da Mitre. O programa CVE espera que IDs CVE separados sejam atribuídos a vulnerabilidades passíveis de correção de forma independente. Se uma vulnerabilidade puder ser corrigida sem corrigir a outra, as vulnerabilidades deverão receber IDs CVE separados.
A exceção é quando as vulnerabilidades podem ser corrigidas de forma independente porque estão em produtos diferentes, mas esses produtos são afetados porque compartilham o mesmo código ou os produtos são afetados porque usam a funcionalidade de outro produto. “Produto”, neste caso, é um termo amplo que inclui padrões, interfaces de programação de aplicativos (APIs) e protocolos.
O que é o Sistema de Pontuação de Vulnerabilidade Comum?
Existem diversas maneiras de determinar a seriedade de uma vulnerabilidade, e uma delas é por meio do Sistema de Pontuação de Vulnerabilidades Comuns (CVSS). O CVSS é um conjunto de diretrizes abertas que atribui um valor numérico a uma vulnerabilidade com base em sua gravidade.
As pontuações são amplamente utilizadas por bancos de dados para avaliar o impacto das vulnerabilidades. A escala de pontuação varia de 0 a 10, sendo que quanto maior o valor atribuído, mais grave é a vulnerabilidade.
Como consultar um CVE?
Para consultar a lista de CVEs publicadas, você pode acessar o site do NVD. Através de uma consulta, você localiza vulnerabilidades recentes e confere detalhes sobre cada uma delas, incluindo sua gravidade e soluções recomendadas.
Para profissionais de cibersegurança, estar de olho nas CVEs publicadas minimiza riscos. O Acronis possui proteção proativa e mostra em um painel único as vulnerabilidades dos equipamentos de acordo com a lista de CVEs. Se você busca uma solução completa para cibersegurança, conte conosco. Fale com nossos especialistas.
