jueves, 21 noviembre, 2024
Suscríbete Gratis
Vulnerabilidades

CVE es el catálogo de vulnerabilidades de ciberseguridad divulgadas públicamente

Foto del avatar
Revista Ciberseguridad
22 de mayo de 2023
1.869 VISITAS
104 2
CVE es el catálogo de vulnerabilidades de ciberseguridad divulgadas públicamente

La misión del programa CVE (Common Vulnerabilities and Exposures) es identificar, definir y catalogar las vulnerabilidades de ciberseguridad divulgadas públicamente . Hay un Registro CVE para cada vulnerabilidad en el catálogo. Las vulnerabilidades son descubiertas, luego asignadas y publicadas por organizaciones de todo el mundo que se han asociado con el Programa CVE. Los socios publican registros CVE para comunicar descripciones consistentes de vulnerabilidades. Los profesionales de la tecnología de la información y la ciberseguridad utilizan CVE Records para asegurarse de que están discutiendo el mismo problema y para coordinar sus esfuerzos para priorizar y abordar las vulnerabilidades.

Tabla de Contenidos

Proceso

Hay un Registro CVE para cada vulnerabilidad en la Lista CVE . Las vulnerabilidades se descubren primero y luego se informan al Programa CVE. El informador solicita una ID de CVE , que luego se reserva para la vulnerabilidad informada. Una vez que la vulnerabilidad informada se confirma mediante la identificación de los elementos de datos mínimos requeridos para un Registro CVE, el registro se publica en la Lista CVE. Los registros CVE son publicados por socios del programa CVE de todo el mundo. Este proceso se describe a continuación:

  1. Descubrir: Una persona u organización descubre una nueva vulnerabilidad.
  2. Informe: El descubridor informa de una vulnerabilidad a un participante del Programa CVE .
  3. Pedido: El participante del programa CVE solicita un identificador CVE (CVE ID).
  4. Reservar: El ID está reservado, que es el estado inicial de un Registro CVE.
  5. Entregar: El participante del programa CVE envía los detalles. Los detalles incluyen, entre otros, los productos afectados; versiones de productos afectados o corregidos; tipo de vulnerabilidad, causa raíz o impacto; y al menos una referencia pública.
  6. Publicar: Una vez que se incluyen los elementos de datos mínimos requeridos en el Registro CVE, la CNA responsable lo publica en la Lista CVE. El Registro CVE ya está disponible para su descarga y visualización por parte del público.

CNA

Organizaciones de todo el mundo se asocian con el programa CVE como autoridades de numeración de CVE (CNA) para asignar ID de CVE y publicar registros de CVE para vulnerabilidades dentro de su alcance específico y acordado. Los tipos de organizaciones incluyen proveedores, investigadores, código abierto, CERT, servicios alojados, proveedores de recompensas por errores y consorcios, pero otros también son bienvenidos.

Funciones del programa

  • Autoridad de numeración de CVE (CNA): una organización responsable de la asignación regular de ID de CVE a las vulnerabilidades y de crear y publicar información sobre la vulnerabilidad en el registro de CVE asociado. Cada CNA tiene un Ámbito de responsabilidad específico para la identificación y publicación de vulnerabilidades.
  • Autoridad de Numeración de Último Recurso de CVE (CNA-LR): Una organización autorizada dentro del Programa CVE para asignar ID de CVE y para crear y publicar Registros de CVE para vulnerabilidades no cubiertas por el Ámbito de otra CNA. Un CNA-LR puede asumir la responsabilidad de asignar una ID de CVE y publicar el Registro de CVE asociado según las políticas definidas por el Programa de CVE.
  • Raíz: Una organización autorizada dentro del Programa CVE que es responsable, dentro de un Ámbito específico, del reclutamiento, capacitación y gobierno de una o más entidades que son una CNA, CNA-LR u otra Raíz.
  • Raíz de nivel superior (TL-Root): una raíz que no informa a otra raíz y, por lo tanto, es responsable ante la Junta de CVE.

Tipos de organización

  • Proveedor: una organización que vende productos o servicios para los que se aplican CVE.
  • Investigador: una organización dedicada a la investigación que tiene como resultado la identificación de vulnerabilidades para las que se aplican CVE.
  • Código abierto: una organización que produce, administra o mantiene productos o servicios que tienen el código fuente disponible libremente para su posible modificación y redistribución.
  • CERT: Equipo de Respuesta a Emergencias Informáticas.
  • Servicio alojado: cualquier servicio basado en la nube, plataforma como servicio, infraestructura como servicio, software como servicio.
  • Proveedor de recompensas por errores: organización que actúa como intermediario entre los proveedores y el investigador y puede recompensar a las personas por descubrir y reportar vulnerabilidades de software.
  • Consorcio: Un grupo de entidades que se han unido para trabajar en un proyecto en particular.

¿Cómo puede ayudarme CVE?

CVE ayuda porque permite una rápida correlación de datos con respecto a una vulnerabilidad a través de múltiples fuentes de información que son compatibles con CVE. Por ejemplo, si posee una herramienta de seguridad cuyos informes contienen referencias a los ID de CVE, puede acceder a la información de reparación en una base de datos separada que sea compatible con CVE. CVE también le proporciona una línea de base para evaluar la cobertura de sus herramientas. Con los identificadores comunes de CVE, sabrá exactamente qué cubre cada herramienta, lo que le permitirá determinar qué herramientas son más efectivas y apropiadas para las necesidades de su organización.

Además, si los avisos de seguridad que recibe su organización incluyen CVE, puede ver si sus escáneres de vulnerabilidad verifican esta amenaza y luego determinar si su sistema de detección de intrusos tiene las firmas de ataque adecuadas para identificar intentos de explotar vulnerabilidades particulares. Si crea o mantiene sistemas para los clientes, la inclusión de CVE en los avisos lo ayudará a identificar directamente cualquier corrección de los proveedores de los productos de software comercial en esos sistemas (si el sitio de reparación del proveedor es compatible con CVE).

¿Quién es el dueño de CVE?

CVE y el logotipo de CVE son marcas comerciales registradas de The MITRE Corporation. CVE está patrocinado por (CISA) del Departamento de Seguridad Nacional (DHS la Agencia de Seguridad de Ciberseguridad e Infraestructura ) de EE. UU . CISA financia el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSEDI) , un Centro de Investigación y Desarrollo con Financiamiento Federal (FFRDC) del DHS operado por The MITRE Corporation, para operar el Programa CVE en cooperación con la industria, el gobierno y las partes interesadas académicas bajo un programa público/privado.

Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Revista Ciberseguridad

Revista Ciberseguridad

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

2 Comentarios

  1. Foto del avatar Revista Ciberseguridad (@ciberseguridadl) says:
    2 años ago

    RT @revistacloud: CVE es el catálogo de vulnerabilidades de ciberseguridad divulgadas públicamente @ciberseguridadl https://t.co/CLKgJvNMQQ

  2. Foto del avatar Colabora Ingenieros (@Colabora_Ing) says:
    2 años ago

    https://t.co/0P0msPPJG3

Redes Sociales

RSS
Facebook
X (Twitter)
LinkedIn
Hosted by CDMON

Agenda

RSS Podcasts

RSS The Hacker News

RSS KitPloit – PenTest & Hacking Tools

RSS Graham Cluley

Suscríbete Gratis

Introduce tu correo electrónico para suscribirte a este blog y recibir avisos de nuevas entradas.

© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad
Diseño Web: ProsiNet
Suscríbete Gratis
© 2024 Revista Ciberseguridad | Cookies | Legal | Privacidad