Esto es lo que debe buscar



La mayoría de las personas solo echan un vistazo de pasada a las vulnerabilidades y exposiciones comunes (CVE). Pueden mirar la puntuación del sistema de puntuación de vulnerabilidad común (CVSS), determinar si la lista de productos afectados les preocupa y seguir adelante.

Eso no es sorprendente cuando hay más para examinar que nunca. Considerando que ha habido más de 14.000 CVE y contando publicados en 2021, no es práctico intentar investigarlos todos. Estamos en camino de ver casi un 40% más de CVE en 2021 que el año pasado.

Cuando ve un CVE que podría aplicarse a usted, ¿cómo puede saberlo? ¿Qué debería mirar para determinar si vale la pena su tiempo?

Desafortunadamente, no puede simplemente leer el título de un CVE y saber si es seguro ignorarlo. Dentro de los datos CVE, hay detalles procesables que pueden ayudarlo a abordar sus problemas de seguridad, incluidos los puntos de datos auxiliares, como las especificaciones de enumeración de plataforma común (CPE). Requiere un poco de trabajo adicional, pero podría haber una gran recompensa si identifica y parchea una vulnerabilidad antes de que sea explotada.

Profundicemos en cómo sacar más provecho de un CVE.

De dónde provienen los CVE
Cuando escuchas sobre vulnerabilidades, a menudo es sin los matices de las versiones de software u otros descriptores. Es un título mucho más impactante decir simplemente «Vulnerabilidad de Microsoft Office environment» que especificar que solo las versiones anteriores son vulnerables. Aquellos que escriben CVE a menudo lo saben, pero no se esfuerzan por ser demasiado descriptivos porque ven la notoriedad que viene con «su» CVE haciendo grandes olas en los medios.

No existen estándares para lo que constituye un CVE, solo sugerencias. Con la popularización de Autoridades de numeración CVE (CNA) como GitHub, cualquier usuario puede solicitar un CVE y se ejecutará a través del sistema automatizado. Hay 184 CNA en 13 países, pero el Corporación MITRE es el principal. Tener tantas CNA diferentes que crean registros CVE ha dificultado aún más el establecimiento de estándares.

Con más de 50 CVE publicados todos los días, no es realista revisarlos todos individualmente, y algunos se vuelven inútiles porque faltan puntos de datos o simplemente son inexactos. Esto ha hecho que la National Vulnerability Databases (NVD) se parezca más a un «mejor esfuerzo» y menos a la «fuente de la verdad» que pretende ser.

Por ejemplo, un campo de descripción dentro de un registro CVE solo puede tener 500 caracteres, lo cual no es suficiente para describir completamente lo que está sucediendo. Volver al aviso de seguridad primary que explain la vulnerabilidad y otros recursos puede ayudarlo a reconstruir por qué una vulnerabilidad es importante, pero es posible que aún no le diga todo lo que necesita saber.

Lea las advertencias
Una de las razones por las que los CVE necesitan más que un vistazo es que los avisos deben contener datos útiles sobre si existe una corrección o un parche para el CVE que puede no estar incluido en el registro CVE.

VMware es una empresa que hace un gran trabajo compartiendo sus datos de remediación cuando publica un aviso de seguridad.

Cómo pueden ayudar los datos de CPE
Dentro de un CVE, hay datos de CPE, que a menudo desempeñan el papel más significativo a la hora de explicar exactamente qué está en riesgo.

Hay cuatro puntos de datos de CPE en el Esquema JSON que son invaluables a la hora de investigar CVE: VersionStartIncluyendo, VersionStartExcluyendo, VersionEndIncluyendo y VersionEndExcluyendo. Esto es lo que le permite reducir la vulnerabilidad a versiones particulares y, si su base de datos de administración de configuración (CMDB) está actualizada, puede hacer una referencia cruzada de lo que está ejecutando para averiguar si esto es importante para usted.

Un problema importante es que el CVE registrado no es necesario para incluir versiones afectadas. Un ejemplo es que Microsoft dejó de incluir versiones en sus datos de CPE cuando cambió a Chrome Edge, lo que hizo que sus datos de CPE fueran inútiles. En un mundo perfecto, el NVD haría obligatorios esos cuatro puntos de datos opcionales para que los usuarios comprendan mejor qué se ve afectado. Cuando las versiones no se informan correctamente, te quedan dos opciones: o consideras todos los CVE que podrían afectar tu producto y terminas con falsos positivos que obstruyen tu foundation de datos, o ignoras cualquier cosa que no sea específica y tenga falsos negativos , lo que es aún peor para su seguridad.

Comprometerse a profundizar más
Simplemente yendo más allá del propio CVE, está investigando más que la mayoría. Cuanto más profundice en los datos disponibles, más podrá remediar los problemas que afecten su seguridad. Aproveche la información y cualquier herramienta que pueda ayudar.

El NVD proporciona una API que puede ayudarlo a buscar muchos de estos datos que tanta gente ignora. Dedicar unos minutos a investigar qué CVE debe preocuparle más podría terminar siendo una inversión clave que ahorra mucho más tiempo y dinero en el futuro.



Enlace a la noticia authentic