Vulnerabilidades y exposiciones comunes
CVE ( English Common Vulnerabilities and Exposures ) es una base de datos de vulnerabilidades de seguridad de la información conocidas . A cada vulnerabilidad se le asigna un número de identificación en el formato CVE-year-number [1] , una descripción y una serie de enlaces disponibles públicamente con una descripción.
CVE es mantenido por la organización MITRE .
El proyecto CVE está financiado por US-CERT .
Características
- Un identificador para una vulnerabilidad.
- Descripción estandarizada de vulnerabilidades.
- Descarga y uso gratis.
Historia
El proyecto CVE se lanzó oficialmente al público en septiembre de 1999. En ese momento, la mayoría de las herramientas de seguridad de la información usaban sus propias bases de datos con sus propios nombres para las vulnerabilidades. Había diferencias significativas entre los productos y no había una manera fácil de saber cuándo diferentes bases de datos se referían al mismo problema. Las consecuencias fueron brechas potenciales en la cobertura de seguridad y falta de compatibilidad entre bases de datos y herramientas dispares. Además, los proveedores de herramientas contaron la cantidad de vulnerabilidades que encontraron de manera diferente.
Vista general del registro
Se ve así: CVE ID, Referencia y Descripción
El ID se escribe con el año y el número de serie, por ejemplo, "CVE-2017-5754". El campo Referencia contiene enlaces a parches, documentos de asesoramiento o comentarios de desarrolladores. La descripción es responsable de describir la vulnerabilidad en sí. CVE es un sistema de base amplia y no se enfoca solo en las vulnerabilidades del lado del cliente o únicamente en el protocolo WEB. Inicialmente, se concibió como un estándar único para identificar vulnerabilidades, que debería cubrir varias partes de un sistema de información: un sistema para buscar y detectar brechas (por ejemplo, un escáner de seguridad), software antivirus y software bajo investigación.
Ejemplos
- Fusión : CVE-2017-5754
- Espectro : CVE-2017-5753, CVE-2017-5715
- BlueBorne : CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-8628, CVE-2017-14315
Alternativas
- BID de enfoque de seguridad;
- OSVDB(Base de datos de vulnerabilidades de código abierto): "una base de datos abierta de vulnerabilidades" creada por tres organizaciones sin fines de lucro . Dejó de funcionar el 5 de abril de 2016. El blog sigue funcionando;
- Secunia : una cinta de vulnerabilidades de la conocida empresa danesa Secunia en el campo de la seguridad informática y de redes;
- Fuerza X de la ISS de IBM .
También hay otros clasificadores. Al trabajar con ellos, debe prestar atención a los autores, ya que cada sistema de clasificación debe ser creado por expertos en el campo de la seguridad de la información.
Véase también
- Common Weakness Enumeration (CWE) es un sistema de clasificación de errores que conducen a vulnerabilidades.
- Banco de datos de amenazas a la seguridad de la información del FSTEC de la Federación Rusa
- Clasificadores de vulnerabilidad
Notas
- ↑ Los expertos proponen tres nuevas formas de asignar números CVE a las vulnerabilidades . Consultado el 5 de enero de 2018. Archivado desde el original el 6 de enero de 2018.
Enlaces
- cve.org - sitio oficial de CVE
- https://cve.mitre.org/cve/data_sources.html
- https://cve.mitre.org/about/faqs.html
- Medición de vulnerabilidades: clasificadores y métricas de infracciones informáticas — Hacker Magazine 15/05/2009