Conceptos sobre un CVE y su importancia en la seguridad informática

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

PRIMERA PARTE

Un CVE (Common Vulnerabilities and Exposures), por sus siglas en inglés o Vulnerabilidades y exposiciones comunes, es un estándar diseñado para enumerar y especificar las vulnerabilidades y otras exposiciones de seguridad de la información. El objetivo del CVE es estandarizar las vulnerabilidades y exposiciones de seguridad y así poder darlas a conocer a nivel público [1].

El CVE permite al personal especialista y otros  profesionales en TI guiarse para poder coordinar y concentrar todos los esfuerzos en conjunto con sus conocimientos, con el fin de solucionar los puntos vulnerables, y, posteriormente mejorar la seguridad en todos los sistemas informáticos[2].

Una corporación conocida sin ánimo de lucro es MITRE Corporation fundada en 1958. Es la encargada de hacer las supervisiones de los CVE, además su financiamiento viene de la Agencia de Seguridad de Infraestructura y Ciberseguridad, la cual hace parte del Departamento de Seguridad Nacional de Estados Unidos [2]. Muchas empresas especializadas en seguridad informática toman como punto de referencia a MITRE, como por ejemplo ESET [3]. 

Los datos técnicos en las CVE se encuentran ausentes, y, no existe información sobre los riesgos, efectos o soluciones. Pues esta información se encuentra en diferentes bases de datos como la National Vulnerability Database de Estados Unidos, la CERT/CC Vulnerability Notes Database y varias listas. Los números asociados a la identificación de CVE le sirven a los usuarios en una manera que proporcionan confiabilidad, por esta razón varios de ellos los usan para diferenciar cada falla de seguridad en diferentes sistemas informáticos [2].

Los números identificación del CVE, son asignados por las autoridades creadas específicamente para esta tarea. Existe un listado cercano a 100 CNA en donde se representan a los principales  proveedores de TI, así como las organizaciones especializadas en seguridad e investigaciones; sin embargo  MITRE  puede emitir de forma directa CVE [1]. 

Se hacen construcciones y emisiones de bloques para las CNA, las cuales son reservadas para hacer asignaciones a nuevos problemas que se vayan descubriendo. La emisión de estos números se da de manera anual y son miles los números de identificación de CVE generados. Existen productos de alta complejidad, como los  sistemas operativos en donde se acumulan varios números de  CVE [2].

Fuente

manuals.gfi.com

www.redhat.com

www.welivesecurity.com

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Uncategorized

SEGURIDAD EN CRIPTOMONEDAS

La migración de los mercados al mundo digital, se ha venido dando desde varios años atrás, también los activos comienzan a jugar un nuevo papel

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.