Las CVE son una parte integral de la gestión de vulnerabilidades. Es posible que hayas escuchado el acrónimo antes, pero ¿qué significa y qué los hace importantes?

¿Qué es un CVE?

CVE son las siglas de Common Vulnerabilities and Exposures, y se refiere a una base de datos que contiene vulnerabilidades y exposiciones de seguridad de la información divulgadas públicamente.

El sistema es mantenido activamente por la FFRDC Nacional de Ciberseguridad de los Estados Unidos, que es administrada por MITRE Corporation.

Dado que esta última es una organización sin fines de lucro, CVE depende de la financiación de la División Nacional de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. para operar.

La diferencia entre vulnerabilidades y exposiciones

Las vulnerabilidades son un sistema de fallos que crearon debilidades en la infraestructura que un ciberataque podría explotar. Pueden consistir en cualquier cosa, desde software sin parches hasta un puerto USB sin protección.

Cuando se dejan desatendidos, pueden permitir que los ciberdelincuentes accedan a la memoria del sistema, instalen malware, ejecuten código malicioso o incluso roben, destruyan y modifiquen datos confidenciales.

Una exposición representa una sola instancia en la que el sistema de una organización está en peligro.

Comúnmente descrito como un simple error, expone a una organización a varios casos de daño cibernético.

Los ejemplos incluyen, pero no se limitan a

• Fugas de datos
• Filtraciones de datos
• información de identificación personal que se exfiltra y vende en la Dark Web.

Una abrumadora mayoría de los incidentes de seguridad son causados por exposiciones en lugar de planes de explotación bien pensados.

La historia del sistema CVE

El concepto inicial de lo que más tarde se convertiría en la base de datos CVE se originó en un documento técnico titulado Hacia una enumeración común de vulnerabilidades escrito por los cocreadores Steven M. Christey y David E. Mann de MITRE Corporation.

El dúo presentó la pieza en el 2º Taller de Investigación con Bases de Datos de Vulnerabilidades de Seguridad de la Universidad de Purdue que tuvo lugar en enero de 1999.

A partir de ahí, Christey y Mann formaron un grupo de trabajo que más tarde se convertiría en el Consejo Editorial de CVE de 19 miembros, y elaboraron una lista original de CVE de 321 registros.

En septiembre de 1999, la lista se puso a disposición del público, y así nació el sistema tal como lo conocemos hoy.

Desde el lanzamiento de la lista CVE en 1999, varias empresas de la comunidad de ciberseguridad respaldaron la iniciativa con productos compatibles. En diciembre de 2000, un total de 29 organizaciones participaban en la iniciativa con sus 43 ofertas complementarias.

Además de esto, la base de datos CVE se utilizó como punto de partida para varios productos completamente nuevos, como la Base de Datos Nacional de Vulnerabilidades (NVD) de EE. UU. del NIST.

A lo largo de los años, el sistema ha ido creciendo y lo sigue haciendo hoy en día, desde la inclusión de nuevos CNA en 2016. Así, la iniciativa se expande con cada organización que se une a MITRE como colaboradora.

La lista completa de socios se puede encontrar en CVE.org.

¿Cómo se determinan los CVE?

Cuando se trata de cómo se determina un CVE, hay una regla general simple que debe recordar: todos los CVE son fallas, pero no todas las fallas son CVE. Un defecto se declara CVE cuando cumple tres criterios muy específicos:

• La falla se puede corregir por separado de cualquier otro error.
• El proveedor de software reconoce y documenta la falla como perjudicial para la seguridad de sus usuarios.
• La falla afecta a una base de código singular. A los defectos que afectan a varios productos se les asignan varios CVE.

A cada fallo que se determine que es un CVE se le asigna un número llamado identificador de CVE o ID de CVE. Estos ID son asignados por una de las más de 220 Autoridades de Numeración CVE, o CNA para abreviar, de 34 países.

Según MITRE, los CNA están representados por una variedad de organizaciones, desde proveedores de software y proyectos de código abierto hasta proveedores de servicios de recompensas por errores y grupos de investigación.

Todas estas entidades están autorizadas a asignar ID de CVE y publicar registros de los mismos por el Programa CVE.

Asociaciones y empresas de una multitud de industrias se han unido al programa CNA a lo largo de los años. Los requisitos para hacerlo son mínimos y no implican un contrato ni una tarifa monetaria.

El estándar internacional para los ID de CVE es el de CVE-[Año]-[Número]. Naturalmente, la parte [Año] representa el año en que se informó de la vulnerabilidad o exposición.

El [Número] es un marcador de serie asignado por el CNA respectivo.

¿Qué es una puntuación CVSS?

El CVSS (Common Vulnerability Scoring System) representa una interpretación numérica (en una escala de 0 a 10) de la gravedad de un CVE.

Los equipos de seguridad de la información emplean con frecuencia las calificaciones CVSS como parte de su proceso de evaluación de vulnerabilidades para priorizar la corrección de vulnerabilidades de alto riesgo.

¿Cuántos CVE hay?

Cada año se publican miles de nuevos CVE desde que se fundó el programa en 1999. En el momento en que escribo este artículo, el sitio web oficial de CVE.org informa de un total de 177.353 registros CVE en la lista. Eso se reduce a un promedio de 7.711 vulnerabilidades y exposiciones por año, pero la realidad de los últimos años es que ese número es casi el doble, con hasta 15.000 nuevos CVE reportados.

De los más de 177.000 CVE registrados, más de la mitad pertenecen a los 50 principales proveedores de software del mundo. Por ejemplo, empresas como Microsoft u Oracle tienen más de 6.000 fallos reportados en sus productos.

¿Por qué son importantes los CVE?

El programa CVE se creó para simplificar el intercambio de información sobre vulnerabilidades conocidas entre las organizaciones.

Esto es posible porque los ID CVE antes mencionados brindan a los profesionales de la ciberseguridad la opción de encontrar fácilmente información sobre fallas en varias fuentes acreditadas utilizando el mismo denominador en todos los ámbitos.

Con este sistema, se alienta a las organizaciones a actualizar constantemente sus estrategias de seguridad de acuerdo con las vulnerabilidades y exposiciones más recientes que aparecen.

Además de esto, la lista CVE es una base sólida para que las empresas evalúen la cobertura de las soluciones que utilizan y decidan si invertir en defensas más sólidas o no.

El uso de ID de CVE también es un curso de acción preferido no solo en la prevención de ciberataques, sino también en la detección y respuesta a las vulnerabilidades del sistema.

Al buscar los ID de CVE cuando se detecta un problema, las organizaciones pueden obtener información precisa sobre un exploit en particular con bastante rapidez de varias fuentes certificadas, lo que les permite priorizar su mitigación correctamente.

¿Pueden los ciberdelincuentes explotar los CVE?

Desafortunadamente, al igual que las organizaciones pueden usar las CVE para su beneficio, también pueden hacerlo los grupos de ciberdelincuentes.

Cuando las vulnerabilidades se dan a conocer al público en general, existe una ventana entre su publicación y su mitigación en todos los usuarios de software que los piratas informáticos pueden explotar.

Sin embargo, los beneficios de las CVE superan con creces sus inconvenientes. Por un lado, la lista se restringe solo a vulnerabilidades y exposiciones conocidas.

Además, compartir información dentro de la comunidad de ciberseguridad es una de las formas más seguras de reducir los vectores de ciberataque cuando se combina con soluciones de ciberseguridad sólidas que respalden este conocimiento.

Cómo Heimdal puede ayudarle a parchear los CVE

Al final del día, la lista CVE es solo eso: una lista. Pero cuando se trata de prevenir ataques, la velocidad de ejecución en la aplicación de parches a los CVE es lo más importante.

Cuanto más tiempo transcurra, mayor será el riesgo de ser explotado. La estrategia de ciberseguridad de tu empresa siempre debe tener en cuenta las últimas amenazas, pero eso significa que necesitas una estrategia para empezar.

Cuando se trata de mitigar y manejar vulnerabilidades, Heimdal Patch & Asset Management puede proporcionar una respuesta rápida.

Una solución de parches completamente automatizada y una herramienta de gestión de inventario de software, le permite implementar actualizaciones para los sistemas operativos Microsoft y Linux, así como software propietario y de terceros, tan pronto como se publiquen.

De esta manera, no solo se mantiene alejado de los CVE, sino que también minimiza la ventana de oportunidad para que los ciberdelincuentes exploten esas vulnerabilidades.

Heimdal Patch & Asset Management está diseñado para trabajar con interrupciones mínimas y una eficiencia de programación optimizada para aumentar la productividad y reducir las interrupciones para sus empleados.

Reflexiones finales

Mantenerse al día con las últimas vulnerabilidades y exposiciones es solo el primer paso. La aplicación de parches automatizada es la continuación natural. Por lo tanto, si desea mantener su empresa segura, asegúrese de invertir en una estrategia que ponga el software en constante actualización a la vanguardia. Solo de esta manera se puede prevenir de manera eficiente la mayoría de los ciberataques.

Heimdal Patch & Asset Management podría ser la solución adecuada para usted. Para obtener más información, no dude en ponerse en contacto con sales.inquiries@heimdalsecurity.com.

Si te ha gustado este artículo, síguenos en LinkedIn, Twitter, Facebook, Youtube e Instagram para conocer más noticias y temas de ciberseguridad.