Em nosso post anterior – Patch Tuesday: outubro de 2020, abordamos brevemente as Vulnerabilidades e Exposições Comuns (CVE) e como as vulnerabilidades de software são catalogadas no Banco de Dados Nacional de Vulnerabilidades (NVD). Neste post, vamos nos aprofundar um pouco mais na origem do NVD e em como ele ajuda os profissionais de segurança de TI a avaliar e aprimorar a postura de segurança de suas organizações.
O que é o National Vulnerability Database (NVD) e quem o mantém?
A Base de Dados Nacional de Vulnerabilidades (NVD) é um banco de dados abrangente de vulnerabilidades conhecidas relatadas às quais são atribuídos códigos CVE. É administrada pelo Instituto Nacional de Padrões e Tecnologia (NIST) e patrocinada pelo Centro Nacional de Integração de Cibersegurança e Comunicações do Departamento de Segurança Interna e pela Iniciativa de Implantação de Segurança de Rede.
Quando o NVD foi criado?
O NVD foi criado originalmente em 2000 e foi inicialmente chamado de Internet - Categorization of Attacks Toolkit ou ICAT. Em seguida, ele evoluiu para o repositório de vulnerabilidades que é hoje.
O que o NVD oferece?
O NVD fornece análises sobre CVEs — o catálogo de ameaças de segurança conhecidas — e realiza as seguintes tarefas:
- Atribui uma pontuação do Common Vulnerability Scoring System (CVSS) a cada vulnerabilidade
- Determina os tipos de vulnerabilidade - Common Weakness Enumerations (CWE)
- Define declarações de aplicabilidade - Common Platform Enumeration (CPE)
- Fornece várias outras informações relevantes para a funcionalidade e a capacidade de exploração da vulnerabilidade, ou seja, como uma exploração pode ser realizada por criminosos cibernéticos.
Essas informações podem ser usadas pelas organizações para priorizar as vulnerabilidades e os patches que devem ser implementados para manter a segurança da infraestrutura de TI.
Quais informações de pontuação são fornecidas para cada vulnerabilidade?
O Common Vulnerability Scoring System (CVSS) é um conjunto aberto de padrões usados para avaliar uma vulnerabilidade e atribuir uma gravidade em uma escala de 0 a 10. O NVD fornece "pontuações básicas" do CVSS que representam as características inatas de cada vulnerabilidade. As classificações de gravidade de acordo com as especificações do CVSS v3.0 são:
| Gravidade | Pontuação básica |
|---|---|
| Nenhum | 0.0 |
| Baixa | 0.1 - 3.9 |
| Médio | 4.0 - 6.9 |
| Alta | 7.0 - 8.9 |
| Crítico | 9.0 - 10.0 |
Vulnerabilidades e exposições comuns (CVE)
O Common Vulnerabilities and Exposures (CVE) é uma convenção padrão de notificação para vulnerabilidades de segurança conhecidas publicamente. Lançado em 1999 pela MITRE, uma organização de pesquisa financiada pelo governo, o CVE cataloga ameaças à segurança.
Mais do que uma simples base de dados, o CVE permite que as organizações estabeleçam uma referência para a cobertura de suas ferramentas de segurança. Ele permite que elas correlacionem dados entre vulnerabilidades e os serviços e o uso de suas ferramentas de segurança.
Qual é o objetivo do CVE?
O principal objetivo do CVE é padronizar a forma como uma vulnerabilidade ou risco de segurança é identificado – por meio de um número de identificação, uma descrição e, pelo menos, uma referência pública. O CVE é de uso gratuito e de acesso público. Um exemplo de um ID CVE é o CVE-2020-16891, que inclui o prefixo CVE, o ano em que o ID CVE foi atribuído ou o ano em que a vulnerabilidade foi tornada pública, além dos dígitos do número de sequência.
A descrição do CVE inclui detalhes como o nome do produto e do fornecedor afetados, um resumo das versões afetadas, o tipo de vulnerabilidade, o impacto, o acesso que um invasor precisa para explorar a vulnerabilidade e os componentes ou entradas de código importantes que estão envolvidos.
A referência CVE inclui os relatórios de vulnerabilidade, avisos ou fontes que detalham a vulnerabilidade e a exploração que pode ocorrer.
Qual é a diferença entre NVD e CVE?
Embora essas duas listas/bancos de dados sejam frequentemente mencionadas de forma intercambiável, elas são, na verdade, entidades distintas, embora interligadas. O CVE é essencialmente uma lista de registros de vulnerabilidades, enquanto o NVD é um banco de dados mais robusto, construído com base na lista do CVE e totalmente sincronizado com ela, de modo que quaisquer atualizações feitas na lista do CVE aparecem no NVD. O NVD também inclui o componente de análise para cada vulnerabilidade, conforme descrito acima. De acordo com o MITRE, a lista CVE alimenta o NVD. A Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna dos EUA (DHS CISA) patrocina ambas.
Quantas vulnerabilidades são relatadas a cada ano?
O cenário de ameaças cibernéticas está se expandindo com a evolução da tecnologia e o número de vulnerabilidades de software relatadas aumenta a cada ano. Por exemplo, embora 6.447 vulnerabilidades tenham sido identificadas em 2016, o número praticamente dobrou para 12.174 em 2019.
Os ataques cibernéticos podem ser orquestrados usando as informações dos bancos de dados CVE e NVD. Portanto, é importante corrigir as vulnerabilidades que afetam seus sistemas em tempo hábil para manter seus sistemas de TI e dados seguros. A gravidade da vulnerabilidade o ajuda a decidir como priorizar a implementação de patches em seu ambiente.
O Kaseya VSA automatiza o gerenciamento de patches de software para corrigir vulnerabilidades e manter o software atualizado. Com o Kaseya VSA, você pode monitorar vulnerabilidades e verificar o status dos patches de todo o seu ambiente de TI em um único console.
Saiba mais sobre o gerenciamento de patches do Kaseya VSA solicitando uma avaliação gratuita ou uma demonstração gratuita.
