12 noviembre, 2024

By  No comments

Gestionando Vulnerabilidades: CVE, CWE, NVD, CPE

En diferentes oportunidades me toco explicar como se clasifica una vulnerabilidad 🤔, y que no existe una forma única pero se puede obtener un enfoque estandarizado para gestionar y abordar las vulnerabilidades de seguridad en el campo de la ciberseguridad​.

1. CVE (Common Vulnerabilities and Exposures)

CVE

Definición:

  • CVE (Common Vulnerabilities and Exposures) es una lista pública que recoge vulnerabilidades conocidas en seguridad informática. Cada CVE es un identificador único, por ejemplo, "CVE-2023-1234", que describe una vulnerabilidad específica, los productos afectados y las posibles mitigaciones o remediaciones. El objetivo de la CVE es proporcionar un estándar para que los profesionales de ciberseguridad compartan y gestionen información sobre vulnerabilidades conocidas.

Características:

  • El CVE es un catálogo de vulnerabilidades conocidas en software. Cada vulnerabilidad en este catálogo tiene una identificación única, denominada CVE ID, que sigue el formato: CVE-AAAA-NNNN (donde AAAA es el año de descubrimiento y NNNN es el número secuencial).
  • Es mantenido por MITRE Corporation y su propósito principal es proporcionar una referencia estándar para la identificación de vulnerabilidades.

Forma de medición:

  • Las vulnerabilidades identificadas mediante CVE no contienen una clasificación de su impacto o riesgo. Sin embargo, cada CVE está vinculado a otras bases de datos, como la NVD, que proporcionan más información sobre la severidad y el riesgo de la vulnerabilidad.

Aplicación recomendada:

  • Se recomienda utilizar CVE cuando se necesita identificar de manera única una vulnerabilidad para realizar investigaciones o consultas en diferentes bases de datos.
  • Se aplica en cualquier tipo de software (sistemas operativos, aplicaciones web, software empresarial, etc.) y es una referencia común en equipos de ciberseguridad para mantener un seguimiento de vulnerabilidades.


2. CWE (Common Weakness Enumeration)

Características:

  • CWE es un catálogo de debilidades o errores de diseño y codificación que pueden llevar a vulnerabilidades de seguridad. Se centra más en identificar las causas que pueden generar fallos en la seguridad de un software.
  • A diferencia de CVE, que identifica vulnerabilidades específicas ya descubiertas, CWE proporciona una clasificación de tipos de fallos (por ejemplo, inyección SQL, buffer overflows, cross-site scripting, etc.).
  • También es mantenido por MITRE.

Forma de medición:

  • CWE clasifica las debilidades de manera jerárquica y no tiene un método directo para cuantificar la severidad. Sin embargo, las debilidades descritas en CWE son usadas por herramientas de análisis estático y dinámico para identificar potenciales problemas en el código fuente.
  • Por ejemplo, CWE-79 describe fallas relacionadas con la inyección de scripts en aplicaciones web (XSS - Cross-site Scripting).

Aplicación recomendada:

  • Es más recomendable utilizar CWE en entornos de desarrollo de software, donde es importante identificar y prevenir los fallos comunes de seguridad en la fase de diseño y desarrollo del código.
  • Utilizado en herramientas de análisis estático y dinámico para identificar malas prácticas o debilidades en el código fuente.

3. NVD (National Vulnerability Database)


Características:

  • La NVD es una base de datos mantenida por el NIST (National Institute of Standards and Technology) de los EE.UU. que proporciona información detallada sobre las vulnerabilidades, que a menudo están identificadas por CVE.
  • Es una base de datos pública que contiene información sobre vulnerabilidades, que incluye tanto las CVE como las CWE.
  • Además de la información de vulnerabilidad, NVD proporciona calificaciones de severidad mediante el CVSS (Common Vulnerability Scoring System), que ayuda a medir el impacto (gravedad de la vulnerabilidad) potencial de una vulnerabilidad.

Forma de medición:

  • La NVD asigna a cada vulnerabilidad una puntuación basada en CVSS, con un rango de 0 a 10, donde una puntuación más alta indica una mayor severidad o riesgo.
  • Se usa el CVSS Base Score, que evalúa el impacto y la facilidad de explotación de la vulnerabilidad.
  • También incluye datos sobre posibles soluciones o parches, lo que permite priorizar la remediación.

Aplicación recomendada:

  • NVD se utiliza en entornos donde se requiere medir y priorizar la respuesta a vulnerabilidades. Es ideal para equipos de operaciones de TI y ciberseguridad que necesitan priorizar las actualizaciones o aplicar parches a sistemas vulnerables.
  • Es útil en la gestión de vulnerabilidades para organizaciones que necesitan una evaluación rápida del impacto potencial de una vulnerabilidad.

 

Calculadora CVSS

Calculadora para saber el score de una vulnerabilidad, aquí una:

🖩 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator 🖩

 

CPE (Common Platform Enumeration)


Es un estándar de identificación para activos de información que permite categorizar y nombrar de manera única a productos de software y hardware. Desarrollado por el National Institute of Standards and Technology (NIST), CPE asigna identificadores estructurados a productos tecnológicos, como sistemas operativos, aplicaciones o dispositivos, para facilitar la interoperatividad en la gestión de seguridad de la información.

 

Relación entre CPE y CVE

Ambos están relacionados porque CPE facilita la identificación de productos específicos vulnerables a una determinada CVE, lo que ayuda a entender qué software o hardware es afectado por una vulnerabilidad.

En el contexto de gestión de vulnerabilidades:

  • CPE se usa para definir el alcance de los productos afectados en una vulnerabilidad listada en una CVE.

  • Esto permite que herramientas de escaneo y gestión de activos identifiquen rápidamente si un sistema en particular está expuesto a ciertas vulnerabilidades.

Ejemplo de cómo funcionan juntos

Supongamos que una vulnerabilidad CVE tiene un impacto en "Windows 10". El CPE asignado a esa versión específica de Windows permite que herramientas de gestión de seguridad o bases de datos de vulnerabilidades asocien directamente la vulnerabilidad CVE correspondiente con todos los sistemas que tengan instalado "Windows 10". Así, las organizaciones pueden rastrear de manera eficiente sus activos afectados y priorizar parches o mitigaciones para ellos.

Esta integración entre CPE y CVE contribuye a la interoperatividad y la precisión en la administración de ciberseguridad, mejorando la identificación y la respuesta ante incidentes de seguridad.


Diferencias entre CVE, CWE y NVD

Aspecto

CVE

CWE

NVD

Propósito

Identificación única de vulnerabilidades

Clasificación de debilidades del software

Base de datos detallada de vulnerabilidades

Mantenimiento

MITRE

MITR

NIST

Enfoque

Vulnerabilidades específicas

Errores y debilidades en el diseño/código

Información detallada, con puntuación CVSS

Nivel de detalle

Bajo (solo identifica la vulnerabilidad)

Alto (describe el tipo de fallo)

Alto (incluye puntaje de severidad CVSS y mitigación)

Aplicación recomendada

Detección de vulnerabilidades específicas

Prevención de errores de diseño/código

Evaluación del riesgo y priorización de parches

Estimación del Porcentaje de Relación entre metodologías

Datos a fin del 2023

  • El 100% de las vulnerabilidades en CVE están cubiertas por NVD, ya que NVD se basa en CVE.

  • Aproximadamente el 50-75% de las vulnerabilidades en CVE están relacionadas con una debilidad definida en CWE, ya que no todas las vulnerabilidades tienen una correspondencia directa con una CWE (algunas vulnerabilidades pueden ser causadas por múltiples factores o ser más específicas de lo que cubren las CWEs).

 

 

Resumen al Hueso 🦴

  • CVE 

    • Ideal para identificar vulnerabilidades conocidas en software.

    • Identifica vulnerabilidades específicas. 

    • Útil para medir la criticidad de una vulnerabilidad ya identificada.

    • CPE se usa para definir el alcance de los productos afectados en una vulnerabilidad listada en una CVE.

  • CWE 

    • Útil para los desarrolladores que buscan prevenir errores en el código que podrían generar vulnerabilidades.

    • Cataloga las debilidades comunes que pueden derivar en vulnerabilidades.

  • NVD 

    • Complementa a CVE con información adicional y clasificaciones de riesgo para priorizar la corrección de vulnerabilidades.

    • Es una base de datos que consolida CVEs y CWEs, proporcionando información adicional sobre la severidad y el impacto de las vulnerabilidades. 

    • Útil para medir la criticidad de una vulnerabilidad ya identificada.



 

Referencias

  • https://www.linkedin.com/pulse/what-cve-cwe-nvd-bilha-mwengi
  • https://cwe.mitre.org/
  • https://nvd.nist.gov/
  • https://cve.mitre.org/cve/search_cve_list.html 
  • https://nvd.nist.gov/vuln-metrics/cvss
  • https://www.youtube.com/watch?v=GEKSdEFBZAQ 
  • https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures
  • https://en.wikipedia.org/wiki/Common_Weakness_Enumeration
  • https://en.wikipedia.org/wiki/Common_Vulnerability_Scoring_System
  • https://www.hackbysecurity.com/blog/cve-cwe-capec-cvss-vaya-lio
  • https://www.manuscriptlink.com/society/kiisc/media?key-kiisc/conference/mobisec2023/W-6.pdf
  • https://www.infosecurity-magazine.com/news-features/navigating-vulnerability-maze-cve/ 
  • https://www.tenable.com/blog/common-platform-enumeration-cpe-with-nessus

0 comments:

Publicar un comentario