CVE
Páginas: 6 (1351 palabras)
Publicado: 17 de octubre de 2015
CVE (Common Vulnerabilities and Exposures)
Es una lista de vulnerabilidades de seguridad de la información públicamente conocidas. Es quizás el estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único.
Ventajas del CVE
La utilidad de este catálogo es múltiple:
Permite tener una base para la evaluación de las vulnerabilidades.
Es unestándar muy adoptado para referirse a ellas. En la mayoría de las ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que, de otra forma, resultarían muy complejas de describir y diferenciar desde un punto de vista técnico.
Realiza un proceso de actualización continua de las vulnerabilidades registradas en la lista.
La posibilidad de monitorizar cambios o actualizaciones sobrela lista y los contenidos de las vulnerabilidades.
Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser registradas en el diccionario.
Cómo registrar una nueva vulnerabilidad en CVE
Para registrar una vulnerabilidad en esta lista se debe presentar su candidatura y superar tres etapas. La primera es la de tratamiento, en la que el CVE Content Team se encarga de analizar, investigary procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE. La segunda etapa es la deasignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
Una asignación directa por parte del CVE Editor al ser difundida ampliamenteuna vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo 0day sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVEque van asignando a sus boletines de seguridad.
La tercera y última etapa es la de publicación. Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de modificación. Durante este proceso podría sufrir cambios con respecto al contenido de la descripción oincluso añadir nuevas referencias que la sustenten.
Se pueden dar casos "especiales", en los que un CVE-ID puede necesitar dividirse en distintos identificadores por la complejidad de la vulnerabilidad. Aunque también podría darse el caso inverso, es decir, que varios identificadores se agrupen para formar un único CVE-ID.
Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con surespectivo contenido. Por ejemplo, esto puede deberse a distintos factores:
Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID.
Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad.
Qué información ofrece la web oficial de CVE
A continuación se resaltan en la siguienteimagen los enlaces más importantes que se pueden encontrar en su página web.
En el enlace Documents se pueden encontrar todos los documentos públicos relacionados con CVE.
En los enlaces a Search CVE y Search NVD se pueden realizar las búsquedas de vulnerabilidades. El primero de los enlaces facilita la búsqueda a través de la lista CVE, y el otro enlace permite la búsqueda de vulnerabilidades através de la base de datos de vulnerabilidades del NIST.
En el enlace Search the Site pueden realizarse búsquedas específicas de las vulnerabilidades a través de palabras clave que puede estar contenidas en el nombre o la descripción de la vulnerabilidad sin necesidad de conocer el CVE-ID.
Con el enlace NVD (National Vulnerability Database) se puede ir directamente a la página web de la base de...
Es una lista de vulnerabilidades de seguridad de la información públicamente conocidas. Es quizás el estándar más usado. Permite identificar cada vulnerabilidad, asignando a cada una un código de identificación único.
Ventajas del CVE
La utilidad de este catálogo es múltiple:
Permite tener una base para la evaluación de las vulnerabilidades.
Es unestándar muy adoptado para referirse a ellas. En la mayoría de las ocasiones, la asignación de un CVE permite diferenciar vulnerabilidades que, de otra forma, resultarían muy complejas de describir y diferenciar desde un punto de vista técnico.
Realiza un proceso de actualización continua de las vulnerabilidades registradas en la lista.
La posibilidad de monitorizar cambios o actualizaciones sobrela lista y los contenidos de las vulnerabilidades.
Una revisión exhaustiva de las nuevas vulnerabilidades que podrán ser registradas en el diccionario.
Cómo registrar una nueva vulnerabilidad en CVE
Para registrar una vulnerabilidad en esta lista se debe presentar su candidatura y superar tres etapas. La primera es la de tratamiento, en la que el CVE Content Team se encarga de analizar, investigary procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE. La segunda etapa es la deasignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
Una asignación directa por parte del CVE Editor al ser difundida ampliamenteuna vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo 0day sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVEque van asignando a sus boletines de seguridad.
La tercera y última etapa es la de publicación. Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de modificación. Durante este proceso podría sufrir cambios con respecto al contenido de la descripción oincluso añadir nuevas referencias que la sustenten.
Se pueden dar casos "especiales", en los que un CVE-ID puede necesitar dividirse en distintos identificadores por la complejidad de la vulnerabilidad. Aunque también podría darse el caso inverso, es decir, que varios identificadores se agrupen para formar un único CVE-ID.
Es posible incluso, que algún CVE-ID sea eliminado de las listas junto con surespectivo contenido. Por ejemplo, esto puede deberse a distintos factores:
Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID.
Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad.
Qué información ofrece la web oficial de CVE
A continuación se resaltan en la siguienteimagen los enlaces más importantes que se pueden encontrar en su página web.
En el enlace Documents se pueden encontrar todos los documentos públicos relacionados con CVE.
En los enlaces a Search CVE y Search NVD se pueden realizar las búsquedas de vulnerabilidades. El primero de los enlaces facilita la búsqueda a través de la lista CVE, y el otro enlace permite la búsqueda de vulnerabilidades através de la base de datos de vulnerabilidades del NIST.
En el enlace Search the Site pueden realizarse búsquedas específicas de las vulnerabilidades a través de palabras clave que puede estar contenidas en el nombre o la descripción de la vulnerabilidad sin necesidad de conocer el CVE-ID.
Con el enlace NVD (National Vulnerability Database) se puede ir directamente a la página web de la base de...
Leer documento completo
Regístrate para leer el documento completo.