Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é CVE (Common Vulnerabilities and Exposures)?
Publicado em: 22 de julho de 2024
Colaboradores: Tasmiha Khan, Michael Goodwin
O que é CVE (Common Vulnerabilities and Exposures)?
O CVE (Common Vulnerabilities and Exposures) é um catálogo que lista falhas e vulnerabilidades de segurança cibernética publicamente, estabelecido e mantido pela MITRE Corporation.
O catálogo CVE é mais um dicionário do que um banco de dados de CVE. Ele fornece um nome e uma descrição para cada vulnerabilidade ou exposição. Ao fazê-lo, ele permite a comunicação entre ferramentas e bancos de dados díspares e ajuda a melhorar a interoperabilidade e a cobertura de segurança. O CVE é gratuito ou público para download e uso. A lista CVE alimenta o National Vulnerability Database (NVD) dos EUA.
A CVE, a organização, é "um esforço internacional baseado na comunidade que mantém um registro de dados abertos conduzido pela comunidade de vulnerabilidades de cibersegurança conhecidas publicamente, conhecida como lista CVE".1
Um dos desafios fundamentais na cibersegurança é identificar e mitigar vulnerabilidades que os hackers podem explorar para comprometer aplicações, sistemas e dados. A CVE ajuda a enfrentar esse desafio ao fornecer uma estrutura padronizada para catalogar e rastrear vulnerabilidades de cibersegurança que as organizações podem usar para melhorar os processos de gerenciamento de vulnerabilidades.
O sistema CVE usa identificadores exclusivos, conhecidos como IDs CVE (às vezes chamados de números CVE), para rotular cada vulnerabilidade relatada. Isso facilita a comunicação, a colaboração e o gerenciamento eficazes de falhas de segurança.
A MITRE Corporation criou o CVE em 1999 como um catálogo de referência para categorizar vulnerabilidades de segurança em software e firmware. O sistema CVE ajuda as organizações a discutir e compartilhar informações sobre vulnerabilidades de cibersegurança, avaliar a gravidade das vulnerabilidades e tornar os sistemas de computador mais seguros.
O Conselho Editorial do CVE supervisiona o programa CVE. O conselho inclui membros de organizações relacionadas à cibersegurança, membros do meio acadêmico, instituições de pesquisa, agências governamentais e outros especialistas em segurança de destaque. Entre outras tarefas, o conselho aprova fontes de dados, cobertura de produtos, metas de cobertura para entradas na lista CVE e gerencia a atribuição contínua de novas entradas.2
O US-CERT no escritório de cibersegurança e comunicações do Department of Homeland Security dos EUA (DHS) patrocina o programa CVE.3
O programa CVE define uma vulnerabilidade como "uma fraqueza na lógica computacional encontrada em componentes de software e hardware que, quando explorada, resulta em um impacto negativo na confidencialidade, integridade ou disponibilidade". Portanto, uma vulnerabilidade se refere a uma fraqueza, como um erro de programação, que pode ser usada por invasores para obter acesso não autorizado a redes e sistemas, instalar malware, executar código e roubar ou destruir dados confidenciais. Uma exposição permite esse acesso.
Pense em uma casa: uma vulnerabilidade é uma janela com uma fechadura que é fácil de ser arrombada por um ladrão. Uma exposição é uma janela que alguém esqueceu de trancar.
Para se qualificar como um CVE e receber um identificador CVE (ID CVE), uma falha de segurança deve atender a determinados critérios:
- Corrigível independente de outras falhas: a falha deve poder ser corrigida separadamente de outras vulnerabilidades.
- Reconhecida pelo fornecedor ou documentado em um relatório de vulnerabilidades: o fornecedor deve reconhecer que o bug existe e afeta negativamente a segurança. Ou deve haver um relatório de vulnerabilidades que demonstre o impacto negativo do bug na segurança e sua violação da política de segurança do sistema afetado.
- Afeta uma base de código: o bug deve afetar apenas uma base de código (um produto). As falhas que afetam mais de um produto são atribuídas a CVEs separados para cada produto.
As autoridades de numeração CVE (CNAs) atribuem IDs CVE e publicam registros CVE dentro de escopos de cobertura específicos.
A empresa MITRE funciona como editor e CNA primário. Outras CNAs incluem os principais fornecedores de sistemas operacionais (SO) e TI (incluindo IBM, Microsoft e Oracle), pesquisadores de segurança e outras entidades autorizadas. As CNAs operam de forma voluntária. Atualmente, existem 389 CNAs de 40 países diferentes.4
Raízes e raízes de nível superior
Raízes são organizações autorizadas a recrutar, treinar e governar CNAs ou outras raízes dentro de um escopo específico.
Raízes de nível superior são as raízes de nível mais alto e são responsáveis pela "governança e administração de uma hierarquia específica, incluindo raízes e CNAs dentro dessa hierarquia."5 Atualmente, há duas raízes de nível superior no programa CVE: a MITRE Corporation e a Cybersecurity and Infrastructure Security Agency (CISA).
Informações adicionais sobre a estrutura da organização CVE podem ser encontradas aqui (link externo a ibm.com).
Ciclo de vida do registro de CVE
Qualquer pessoa pode enviar um relatório de CVE. As vulnerabilidades são frequentemente descobertas por pesquisadores de cibersegurança, profissionais de segurança, fornecedores de software, membros da comunidade de código aberto e usuários de produtos por meio de vários meios, como pesquisas independentes, avaliações de segurança, verificações de vulnerabilidades, atividades de resposta a incidentes ou simplesmente usando um produto.
Muitas empresas oferecem uma recompensa por bugs — uma recompensa por encontrar e relatar com responsabilidade vulnerabilidades encontradas no software.
Depois que uma nova vulnerabilidade é identificada e relatada, ela é submetida a um CNA para avaliação. Um novo CVE é então reservado para a vulnerabilidade. Esse é o estado inicial de um registro CVE.
Após examinar a vulnerabilidade em questão, a CNA envia detalhes, incluindo quais produtos afetam, quaisquer versões de produtos atualizadas ou corrigidas, o tipo de vulnerabilidade, sua causa raiz e impacto e pelo menos uma referência pública. Quando esses elementos de dados forem adicionados ao registro CVE, a CNA publica o registro na lista CVE, tornando-o disponível publicamente.
A entrada CVE, então, torna-se parte da lista oficial CVE, onde é acessível a profissionais de segurança cibernética, pesquisadores, fornecedores e usuários em todo o mundo. As organizações podem usar os IDs CVE para rastrear e priorizar vulnerabilidades em seus ambientes, avaliar sua exposição a ameaças específicas e implementar medidas apropriadas de mitigação de riscos.
As entradas CVE incluem um ID CVE, uma breve descrição da vulnerabilidade de segurança e referências, incluindo relatórios de vulnerabilidade e avisos. Os IDs CVE têm uma construção em três partes:
- Um ID CVE começa com o prefixo “CVE”
- A segunda seção é o ano da atribuição
- A última seção do ID CVE é um identificador sequencial
O ID completo tem a seguinte forma: CVE-2024-12345. Essa identificação padronizada ajuda a garantir a consistência e a interoperabilidade entre diferentes plataformas e repositórios, permitindo que os stakeholders façam referência e compartilhem informações sobre vulnerabilidades específicas usando uma "linguagem comum".
Os registros CVE estão associados a um de três estados:
- Reservado: esse é o estado inicial, atribuído a um CVE antes de ser divulgado publicamente (quando uma CNA está examinando a vulnerabilidade).
- Publicado: ocorre quando uma CNA coleta e insere os dados associados ao ID CVE e publica o registro.
- Rejeitado: nessa etapa, o ID e o registro CVE não devem ser usados. No entanto, o registro rejeitado permanece na lista CVE para informar aos usuários que o ID e o registro são inválidos.
O que é Common Vulnerability Scoring System (CVSS)?
Uma maneira de as organizações avaliarem a gravidade das vulnerabilidades é usando o CVSS (Sistema de Pontuação de Vulnerabilidades Comuns).
O CVSS, operado pelo Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST), é um método padronizado usado pelo Banco de Dados Nacional de Vulnerabilidades (NVD), Equipes de Resposta a Emergências de Cibersegurança (CERTs) e outros para avaliar a gravidade e o impacto das vulnerabilidades relatadas. É separado do sistema CVE, mas usado junto com o CVE: os formatos de registro CVE permitem que as CNAs adicionem uma pontuação CVSS aos registros CVE ao publicar registros na lista CVE.6
O CVSS atribui uma pontuação numérica às vulnerabilidades, variando de 0,0 a 10, com base na explorabilidade, escopo de impacto e outras métricas. Quanto maior a pontuação, mais grave é o problema. Essa pontuação ajuda as organizações a avaliar a urgência de lidar com uma vulnerabilidade específica e alocar recursos adequadamente. Não é incomum que organizações também usem seu próprio sistema de pontuação de vulnerabilidades.
As pontuações do CVSS são calculadas com base nas pontuações de três grupos de métricas (básicas, temporais e ambientais), que incorporam características diferentes de uma vulnerabilidade.
As empresas dependem mais das pontuações de métricas básicas, e as classificações de gravidade públicas, como as fornecidas no National Institute of Standards and Technology (NIST) National Vulnerability Database, usam exclusivamente a pontuação de métricas básicas.
Essa pontuação de métricas básicas não considera as características de vulnerabilidade que mudam ao longo do tempo (métricas temporais), fatores do mundo real, como o ambiente do usuário, ou medidas que uma empresa tomou para evitar a invasão de um bug.
As métricas básicas são divididas ainda mais entre métricas de explorabilidade e métricas de impacto:
- As métricas de explorabilidade incluem fatores como vetor de ataque, complexidade do ataque e privilégios necessários.
- As métricas de impacto incluem o impacto na confidencialidade, impacto na integridade e impacto na disponibilidade.7
As métricas temporais medem uma vulnerabilidade em seu estado atual e são usadas para refletir a gravidade de um impacto conforme ele muda ao longo do tempo. Elas também incorporam quaisquer remediações, como patches disponíveis. A maturidade do código de exploração, o nível de remediação e a confiança do relatório são componentes da pontuação das métricas temporais.
As métricas ambientais permitem que uma organização ajuste a pontuação básica de acordo com seus próprios requisitos de ambiente e segurança.
Essa pontuação ajuda a colocar a vulnerabilidade em um contexto mais claro, conforme ela se relaciona com a organização, e inclui uma pontuação de requisito de confidencialidade, uma pontuação de requisito de integridade e uma pontuação de requisito de disponibilidade.
Essas métricas são calculadas juntamente com métricas básicas modificadas que medem o ambiente específico (como vetor de ataque modificado e complexidade de ataque modificada) para alcançar uma pontuação de métricas ambientais.
Impacto do CVE no gerenciamento de vulnerabilidades
O programa CVE representa uma abordagem colaborativa e sistemática para identificar, catalogar e lidar com vulnerabilidades e exposições de cibersegurança. Oferecendo um sistema padronizado para identificar e fazer referência a vulnerabilidades, o CVE ajuda as organizações a melhorar o gerenciamento de vulnerabilidades de várias maneiras:
O CVE ajuda as organizações a discutir e compartilhar informações sobre uma vulnerabilidade usando um identificador comum. Por exemplo, os conselhos de segurança geralmente publicam listas de CVEs, junto com pontuações de CVSS, que as empresas usam para informar suas estratégias de gerenciamento de risco e ciclos de planejamento de patches.
O CVE ajuda as organizações a gerenciar efetivamente os riscos de segurança, melhorar a visibilidade e a inteligência de ameaças e fortalecer a postura geral de cibersegurança em um cenário de ameaças cada vez mais complexo e dinâmico.
Os IDs CVE facilitam a correlação de dados e permitem que as equipes de TI examinem várias fontes em busca de informações sobre uma vulnerabilidade específica.
A lista CVE é usada para ajudar a determinar quais ferramentas de segurança são melhores para as necessidades de uma organização e para criar estratégias de gerenciamento de riscos que considerem as vulnerabilidades conhecidas e o impacto potencial que esses problemas de segurança podem ter nos sistemas e dados corporativos.
Com essas informações, as organizações podem determinar melhor como determinados produtos se adaptam à sua postura de segurança e tomar medidas para minimizar sua exposição a ataques cibernéticos e violações de dados.
CVE é um catálogo de vulnerabilidades de cibersegurança conhecidas, em que um ID CVE é específico para uma falha de software.
A Enumeração de Pontos Fracos Comuns (CWE) é um projeto da comunidade de TI que lista diferentes tipos ou categorias de pontos fracos de hardware e software, como erros de buffer, erros de autenticação ou problemas de CPU. Esses pontos fracos podem levar a uma vulnerabilidade.
Soluções relacionadas
O IBM Concert capacita os proprietários de aplicações e os SREs a priorizar, mitigar e rastrear proativamente as vulnerabilidades das aplicações para garantir operações resilientes.
A IBM Security trabalha com você para ajudar a proteger sua empresa com um portfólio avançado e integrado de soluções e serviços de cibersegurança corporativa integrados com IA. Nossa abordagem moderna à estratégia de segurança usa princípios zero trust para ajudar você a prosperar diante de incertezas e ameaças cibernéticas.
Construa, implemente e atualize aplicações de forma segura em qualquer lugar, transformando DevOps em DevSecOps, incluindo pessoas, processos e ferramentas.
Recursos
O IBM X-Force Threat Intelligence Index 2024 fornece insights e recomendações de pesquisa essenciais para ajudar você a se preparar e responder aos ataques com maior velocidade e eficácia.
Uma API, ou interface de programação de aplicativos, é um conjunto de regras ou protocolos que permitem que aplicativos de software se comuniquem entre si para trocar dados, recursos e funcionalidades.
Automação é a aplicação de tecnologia, programas, robótica ou processos para alcançar resultados com o mínimo de intervenção humana.
O desenvolvimento de software se refere a um conjunto de atividades de ciências da computação dedicadas ao processo de criação, design, implementação e suporte de software.
Os testes dinâmicos de segurança de aplicações (DAST) são um método de testes de cibersegurança utilizado para identificar vulnerabilidades e configurações incorretas em aplicações da web, APIs e, mais recentemente, aplicativos móveis.
O ciclo de vida de gerenciamento de vulnerabilidades é um processo contínuo para descobrir, priorizar e lidar com vulnerabilidades nos ativos de TI de uma empresa.
Notas de rodapé
1,2,3 “Common Vulnerabilities and Exposures—The Standard for Information Security Vulnerability Names,” cve.mitre.org. Fevereiro de 2016
4,6 cve.mitre.org, 2024
5 CVE glossary, cve.org, 2024
7 Common Vulnerability Scoring System Version 3.1 Calculator, FIRST.org, 2024