En nuestra entrada anterior del blog —Patch Tuesday: octubre de 2020—, hablamos brevemente sobre las Vulnerabilidades y Exposiciones Comunes (CVE) y sobre cómo se catalogan las vulnerabilidades de software en la Base de Datos Nacional de Vulnerabilidades (NVD). En esta entrada, profundizaremos un poco más en los orígenes de la NVD y en cómo ayuda a los profesionales de la seguridad informática a evaluar y mejorar el nivel de seguridad de sus organizaciones.
¿Qué es la Base Nacional de Datos sobre Vulnerabilidad (NVD) y quién la mantiene?
La Base de Datos Nacional de Vulnerabilidades (NVD) es una base de datos exhaustiva de vulnerabilidades conocidas notificadas a las que se han asignado identificadores CVE. Está gestionada por el Instituto Nacional de Estándares y Tecnología (NIST) y patrocinada por el Centro Nacional de Integración de Ciberseguridad y Comunicaciones del Departamento de Seguridad Nacional y por la Iniciativa de Implementación de Seguridad de Redes.
¿Cuándo se creó el NVD?
El NVD se creó en el año 2000 y se denominó inicialmente Internet - Categorization of Attacks Toolkit o ICAT. Posteriormente evolucionó hasta convertirse en el repositorio de vulnerabilidades que es hoy.
¿Qué proporciona el NVD?
El NVD ofrece análisis sobre las CVE —el catálogo de amenazas de seguridad conocidas— y realiza las siguientes tareas:
- Asigna una puntuación CVSS (Common Vulnerability Scoring System) a cada vulnerabilidad.
- Determina los tipos de vulnerabilidad - Enumeraciones de debilidades comunes (CWE)
- Define las declaraciones de aplicabilidad - Enumeración común de plataformas (CPE)
- Proporciona otros datos relacionados con la funcionalidad y la explotabilidad de la vulnerabilidad, es decir, cómo los ciberdelincuentes pueden explotarla.
Esta información puede ser utilizada por las organizaciones para priorizar las vulnerabilidades y los parches que deben desplegar para mantener segura su infraestructura informática.
¿Qué información de puntuación se proporciona para cada vulnerabilidad?
El Sistema Común de Puntuación de Vulnerabilidades (CVSS) es un conjunto abierto de normas utilizadas para evaluar una vulnerabilidad y asignarle una gravedad en una escala de 0 a 10. El NVD proporciona "puntuaciones base" CVSS que representan las características innatas de cada vulnerabilidad. Las puntuaciones de gravedad según las especificaciones CVSS v3.0 son:
| Gravedad | Puntuación de base |
|---|---|
| Ninguno | 0.0 |
| Bajo | 0.1 - 3.9 |
| Medio | 4.0 - 6.9 |
| Alta | 7.0 - 8.9 |
| Crítica | 9.0 - 10.0 |
Vulnerabilidades y exposiciones comunes (CVE)
Common Vulnerabilities and Exposures (CVE) es una convención estándar para informar sobre vulnerabilidades de seguridad conocidas públicamente. Creada en 1999 por MITRE, una organización de investigación financiada por el gobierno, la CVE cataloga las amenazas de seguridad.
Más allá de ser una simple base de datos, CVE permite a las organizaciones establecer una referencia sobre la cobertura de sus herramientas de seguridad. Les permite correlacionar los datos entre las vulnerabilidades y los servicios y el uso de sus herramientas de seguridad.
¿Para qué sirve la CVE?
El objetivo principal del CVE es estandarizar la forma en que se identifica una vulnerabilidad o un riesgo de seguridad, mediante un número de identificación, una descripción y al menos una referencia pública. El uso del CVE es gratuito y está a disposición del público. Un ejemplo de identificador CVE es CVE-2020-16891, que incluye el prefijo «CVE», el año en que se asignó el identificador CVE o el año en que se hizo pública la vulnerabilidad, y los dígitos del número de secuencia.
La descripción del CVE incluye detalles como el nombre del producto afectado y el proveedor, un resumen de las versiones afectadas, el tipo de vulnerabilidad, el impacto, el acceso que necesita un atacante para explotar la vulnerabilidad y los componentes de código o entradas importantes que están implicados.
La referencia CVE incluye los informes de vulnerabilidad, avisos o fuentes que detallan la vulnerabilidad y la explotación que podría producirse.
¿Cuál es la diferencia entre NVD y CVE?
Aunque a menudo se habla de estas dos listas o bases de datos como si fueran lo mismo, en realidad se trata de entidades independientes, aunque interconectadas. CVE es, en esencia, una lista de entradas de vulnerabilidades, mientras que NVD es una base de datos más completa que se basa en la lista CVE y está totalmente sincronizada con ella, de modo que cualquier actualización que se realice en la lista CVE aparece en NVD. NVD también añade el componente de análisis para cada vulnerabilidad, tal y como se ha descrito anteriormente. Según MITRE, la lista CVE alimenta la NVD. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional de EE. UU. (DHS CISA) patrocina ambas.
¿Cuántas vulnerabilidades se notifican cada año?
El panorama de las ciberamenazas se amplía con la evolución de la tecnología y el número de vulnerabilidades de software que se notifican aumenta cada año. Por ejemplo, mientras que en 2016 se identificaron 6.447 vulnerabilidades, en 2019 el número se duplicó hasta alcanzar las 12.174.
Los ciberataques pueden orquestarse utilizando la información de las bases de datos CVE y NVD. Por lo tanto, es importante parchear a tiempo las vulnerabilidades que afectan a sus sistemas para mantener a salvo sus sistemas informáticos y sus datos. La gravedad de la vulnerabilidad le ayuda a decidir cómo priorizar el despliegue de parches en su entorno.
Kaseya VSA automatiza la gestión de parches de software para corregir vulnerabilidades y mantener el software actualizado. Con Kaseya VSA, puede supervisar las vulnerabilidades y consultar el estado de los parches de todo su entorno de TI desde una única consola.
Para obtener más información sobre la gestión de parches de Kaseya VSA, solicite una prueba gratuita o una demostración gratuita.
