Vulnerabilidades e exposições comuns (CVE) é um sistema padrão para a identificação e publicação de vulnerabilidades de segurança cibernética. O seu objetivo principal é facilitar a partilha e distribuição de dados sobre vulnerabilidades para permitir melhores estratégias de defesa e promover a colaboração dentro da comunidade de segurança cibernética.
História e Gênese da CVE
O conceito de CVE originou-se no final da década de 1990 na comunidade de segurança de computadores, principalmente como uma iniciativa da MITRE Corporation. O sistema foi lançado em Setembro de 1999 com a primeira Lista CVE, uma base de dados de identificadores padronizados para vulnerabilidades conhecidas de segurança cibernética.
O objectivo original do CVE era fornecer uma linguagem comum para discutir e partilhar informações sobre vulnerabilidades. Antes da introdução do CVE, diferentes fornecedores e pesquisadores usavam nomes e descrições diferentes para as mesmas vulnerabilidades, gerando confusão e falhas de comunicação.
Compreendendo o CVE
Cada entrada CVE inclui um número de identificação, uma descrição e pelo menos uma referência pública. O número de identificação segue um formato específico: CVE-YYYY-NNNNN, onde “YYYY” é o ano em que o ID CVE foi atribuído ou a vulnerabilidade foi tornada pública, e “NNNNN” é um número exclusivo para essa vulnerabilidade.
O sistema CVE não fornece nenhuma informação sobre a gravidade ou risco associado a uma vulnerabilidade específica. No entanto, fornece uma base em torno da qual outras organizações, como o National Vulnerability Database (NVD), podem anexar metadados adicionais, tais como pontuações de risco ou índices de exploração.
Estrutura Interna e Funcionalidade do CVE
O sistema CVE funciona atribuindo um identificador exclusivo a cada vulnerabilidade conhecida. Esse identificador ajuda os profissionais de segurança a se referirem a uma vulnerabilidade específica usando uma linguagem comum, o que auxilia nos esforços de mitigação.
Os IDs CVE são solicitados e atribuídos pelas Autoridades de Numeração CVE (CNAs). CNAs são organizações de todo o mundo que fizeram parceria com o Programa CVE para atribuir IDs CVE a vulnerabilidades que afetam produtos dentro de seu escopo distinto e acordado.
A Lista CVE, mantida pelo MITRE, é então atualizada com essas novas entradas. Bancos de dados de vulnerabilidades, como o NVD, extraem dados da lista CVE para criar listas de vulnerabilidades mais detalhadas.
Principais recursos do CVE
- Identificadores Padronizados: Cada ID CVE refere-se a uma vulnerabilidade única, o que evita confusão ao discutir ou compartilhar informações sobre vulnerabilidades.
- Banco de dados publicamente acessível: A Lista CVE está disponível gratuitamente ao público, promovendo a transparência e a colaboração.
- Adoção generalizada: Os IDs CVE são amplamente utilizados por fornecedores e pesquisadores de segurança cibernética em todo o mundo, tornando-os um padrão reconhecido globalmente.
- Linguagem comum: O uso de um identificador comum ajuda a melhorar a coordenação e a colaboração em segurança cibernética, fornecendo uma forma padrão de discutir vulnerabilidades individuais.
Tipos de CVE
Não existe uma classificação formal dos tipos de CVE em si, mas as vulnerabilidades podem ser classificadas com base em diferentes critérios, como a área que impactam (por exemplo, memória, sistema operacional, aplicativo), como podem ser exploradas (por exemplo, remoto, local ) e o impacto que causam (por exemplo, vazamento de dados, falha do sistema).
Por exemplo, observando como as vulnerabilidades podem ser exploradas, podemos ter:
| Vetor de exploração | Descrição |
|---|---|
| Local | O invasor precisa de acesso físico ou privilégios de usuário local para explorar a vulnerabilidade |
| Adjacente | O invasor deve ter acesso à mesma rede que o sistema alvo para explorar a vulnerabilidade |
| Controlo remoto | O invasor pode explorar a vulnerabilidade na Internet |
Os CVEs são usados por profissionais de segurança cibernética para identificar vulnerabilidades, avaliar seu impacto e elaborar estratégias de mitigação. No entanto, este sistema não está isento de desafios. Notavelmente, o sistema CVE pode demorar a atribuir identificadores a novas vulnerabilidades, causando uma lacuna na cobertura. Além disso, como o CVE não fornece informações sobre gravidade ou risco, as organizações devem contar com outros recursos para obter esses dados.
Para resolver estas questões, a comunidade de segurança cibernética desenvolveu ferramentas e recursos complementares. Por exemplo, o Banco de Dados Nacional de Vulnerabilidades fornece pontuações de gravidade e metadados adicionais para cada CVE, enquanto organizações como CERT/CC e Zero Day Initiative geralmente atribuem identificadores temporários a novas vulnerabilidades antes que um ID CVE seja atribuído.
Comparação com termos semelhantes
| Prazo | Descrição | Comparação com CVE |
|---|---|---|
| CVSS | O Common Vulnerability Scoring System (CVSS) fornece uma maneira de capturar as principais características de uma vulnerabilidade e produzir uma pontuação numérica que representa sua gravidade. | Embora o CVE identifique vulnerabilidades, o CVSS as pontua com base em sua gravidade. |
| CWE | Common Weakness Enumeration (CWE) é uma lista desenvolvida pela comunidade de pontos fracos comuns de segurança de software. Serve como uma linguagem comum para descrever essas fraquezas. | Embora o CVE identifique vulnerabilidades específicas, o CWE descreve tipos de fraquezas de segurança que podem levar a vulnerabilidades. |
Perspectivas Futuras e Tecnologias Relacionadas ao CVE
À medida que as ameaças à cibersegurança continuam a evoluir, o sistema CVE também terá de se adaptar. As melhorias futuras no sistema CVE podem incluir detecção e relatórios automatizados de vulnerabilidades, escopos expandidos para CNAs e integração com tecnologias de inteligência artificial (IA) e aprendizado de máquina (ML) para análise preditiva.
Servidores proxy e CVE
Os servidores proxy, como os fornecidos pelo OneProxy, podem ser alvos e ferramentas no contexto do CVE. Como alvos, as vulnerabilidades no software do servidor proxy podem receber seus próprios IDs CVE se apresentarem um risco à segurança. Como ferramentas, os servidores proxy podem ser configurados para mitigar o impacto de algumas vulnerabilidades, por exemplo, filtrando o tráfego malicioso relacionado a um CVE conhecido.
