As empresas hoje correm mais riscos do que nunca com o ataque e o comprometimento de dados da cibersegurança. Roubo de dados e ataques de ransomware causados por vulnerabilidades e exposições podem causar milhões de dólares em danos para as corporações.
Mas o que exatamente são vulnerabilidades e exposições? Podemos descrever uma vulnerabilidade como uma falha ou fragilidade em um sistema de computador ou software que pode conceder um nível não intencional de acesso a um usuário. As vulnerabilidades permitem que invasores executem ações destrutivas em um sistema de computador ou rede, como instalar malware ou obter acesso não autorizado a informações.
Uma exposição é um erro de configuração que dá ao invasor acesso a um sistema de computador ou aos dados que ele armazena. Um exemplo seria um sistema de armazenamento na nuvem pouco seguro que permite que invasores acessem dados confidenciais. Outro exemplo seria uma porta de rede aberta em um servidor que é explorada ainda mais por meio da instalação de malware de comando e controle.
Outra maneira de pensar em uma exposição é como uma vulnerabilidade sendo ativamente explorada por invasores.
As aplicações que usamos diariamente são propensas a vulnerabilidades e exposições devido à sua natureza complexa e aos curtos ciclos de desenvolvimento para cada novo lançamento. Percebendo isso, os fabricantes muitas vezes desenvolvem e lançam rapidamente correções para vulnerabilidades assim que são detectadas. Por isso, os desenvolvedores sentiram a necessidade de uma ferramenta de comunicação eficaz sobre vulnerabilidades descobertas recentemente. Portanto, temos Vulnerabilidades e Exposições Comuns (CVEs), um framework internacional e um esforço para manter um registro atualizado de todas as vulnerabilidades e exposições de segurança de computadores conhecidas.
Nesta publicação, discutiremos o que são CVEs e por que eles são essenciais para relatar e publicar vulnerabilidades. Também aprenderemos como usar CVEs e as melhores ferramentas para manter vocês atualizados sobre as últimas ameaças de segurança.
Vamos começar com uma visão geral básica das CVEs.
Uma visão geral das CVEs: conceitos básicos
Segundo o relatório da Deloitte, a maioria das empresas gasta cerca de 10% do seu orçamento anual de TI em cibersegurança. Essa é uma quantia significativa de dinheiro para organizações de médio a grande porte. Uma maneira de reduzir esse custo é manter um banco de dados atualizado de vulnerabilidades conhecidas.
Um banco de dados central operado pela MITRE Corporation
A CVE é operada pela MITRE Corporation e financiada em parte pelo Departamento de Segurança Interna dos Estados Unidos. As CVEs tornaram-se uma fonte indispensável de informação para profissionais de cibersegurança em todo o mundo. Desenvolvedores e organizações contam com CVEs para receber atualizações críticas de segurança, manterem-se informados sobre sistemas violados e implementar medidas preventivas para impedir ataques maliciosos.
Embora a MITRE gerencie uma lista de CVEs atuais, ela não pesquisa ativamente por novas vulnerabilidades de aplicação. Essa tarefa recai sobre indivíduos ou organizações na comunidade de código aberto que investem seu tempo e esforço descobrindo falhas na aplicação e relatando-as aos fabricantes.
Autoridades de numeração de CVE (CNAs)
Outro papel da MITRE Corporation no programa de CVE é gerenciar as autoridades de numeração de CVE (CNAs). CNAs são organizações espalhadas pelo mundo que também são parceiras do programa de CVE. As CNAs geralmente fazem parte de grandes corporações — como Microsoft, Oracle ou Apple — e são essencialmente uma ponte entre indivíduos que encontram uma nova vulnerabilidade e a comunidade de CVE. Elas ajudam no processo de descoberta verificando e enviando documentos sobre a vulnerabilidade e publicando a CVE.
As CNAs também são responsáveis por atribuir IDs exclusivos às novas CVEs. O ID ajuda você a encontrar todas as informações relevantes sobre uma vulnerabilidade ou exposição. Diferentes bancos de dados de CVE em todo o mundo usam essas IDs para adicionar informações mais detalhadas sobre a CVE, incluindo:
- Gravidade
- Sistemas de software afetados
- Os passos a seguir para corrigir a vulnerabilidade e conter os danos
Criado para compartilhar e informar
As CVEs foram criadas para compartilhar informações e detalhes técnicos sobre essas vulnerabilidades com a comunidade em geral, informando a todos sobre o cenário de ameaças mais recente e instruindo-os sobre como se defender contra os riscos cada vez mais emergentes.
Essa vulnerabilidade pode vir tanto de software de fonte aberta não mantido quanto de aplicações comerciais. Os desenvolvedores de software geralmente usam bibliotecas e dependências de terceiros para desenvolver aplicações. O maior benefício de um sistema centralizado de relatórios de CVE é que ele pode alertar todos ao mesmo tempo sobre aplicações ou bibliotecas vulneráveis.
Exemplos de CVEs
Um exemplo clássico de uma CVE é o recente relatório de vulnerabilidade do Log4j (CVE-2021-44228). Ele contém informações detalhadas sobre uma vulnerabilidade do popular framework de registro Java, Apache Log4j. Muitos provedores de serviços, como AWS, Cloudflare e Twitter, foram afetados por essa vulnerabilidade.
Outro exemplo é a vulnerabilidade ProxyShell. Ela afetou os servidores do Microsoft Exchange ao permitir a execução remota de código. Isso foi anunciado via CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207.
Integrando a varredura de CVE em CI/CD
Um dos melhores casos de uso de CVEs é incluí-las no pipeline de desenvolvimento e implantação de aplicações. Como mencionado anteriormente, a aplicação pode frequentemente utilizar pacotes ou bibliotecas com vulnerabilidade. Ao incluir a capacidade de varredura de CVE no pipeline de CI/CD, os desenvolvedores podem automatizar os testes de segurança, impedir que o código seja mesclado no repositório de código e receber alertas.
O que se qualifica como uma CVE?
Antes que uma CVE possa ser aceita e publicada, ela deve atender a um conjunto específico de critérios. Atender aos requisitos ajuda a separar e distinguir entre bugs e vulnerabilidade. Como uma CNA, você não quer ler inúmeros relatórios de CVE apenas para descobrir que a maioria deles são bugs que os desenvolvedores podem corrigir alterando algumas linhas de código. A seguir estão alguns dos critérios para qualificação como CVE.
Reparabilidade
A vulnerabilidade deve ser reparável. Isso significa que o usuário final deve conseguir resolver o problema instalando uma atualização de software que inclua uma correção para essa vulnerabilidade.
Provabilidade
A entidade que apresenta o relatório deve ser capaz de provar a suposta vulnerabilidade por meio de documentação ou apresentar a confirmação do fabricante do software.
Efeito limitado
A vulnerabilidade deve afetar apenas uma única parte do software ou base de código. Se a vulnerabilidade afetar vários produtos, ela deverá ser dividida em CVEs diferentes.
Vale ressaltar que, mesmo que uma vulnerabilidade atenda a todos esses critérios, ela pode não ser publicada imediatamente. Atrasar a publicação pode dar tempo ao fabricante para desenvolver uma correção. Isso permite que ele anuncie a correção ao mesmo tempo que a CVE é publicamente disponibilizada.
Muitas empresas também oferecem programas de recompensa por bugs para incentivar a comunidade a descobrir e relatar vulnerabilidades. Os caçadores de recompensa por bugs são profissionais experientes em cibersegurança que realizam testes extensivos para identificar ameaças e exposições em uma aplicação.
O que é o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS)?
As CVEs podem ser de diferentes tipos, com diferentes níveis de gravidade e exigir diferentes graus de atenção. Como as CVEs são publicadas o tempo todo, o Sistema de Pontuação de Vulnerabilidade Comum (CVSS) ajuda a determinar como priorizar as CVEs.
CVSS é um sistema de numeração para atribuição de prioridade e nível de gravidade às CVEs. Ele funciona atribuindo um número entre 0,0 e 10,0 a uma CVE, indicando sua gravidade. Uma vulnerabilidade com uma pontuação CVSS entre 9,0 e 10,0 é considerada crítica e precisa de ação imediata.
O CVSS ajuda as empresas a planejar estratégias de gerenciamento e resposta a riscos e a priorizar seus ciclos de correção. Muitos alertas de segurança lançam listas de CVEs ordenadas pelas pontuações CVSS, com vulnerabilidades mais severas no topo da lista.
Como funciona a CVE?
Quando uma vulnerabilidade é descoberta, ela deve passar por um ciclo de vida de CVE padronizado antes da publicação. A imagem abaixo mostra um fluxo simplificado.
Descoberta: o processo começa com uma pessoa ou organização descobrindo uma vulnerabilidade.
Relatório: a pessoa ou entidade que descobriu a vulnerabilidade registra um relatório com um parceiro do programa de CVE.
Solicitação: o parceiro de CVE (CNA) emite uma ID para a vulnerabilidade.
Reserva: o ID é reservado para aquela vulnerabilidade específica e é usado na avaliação inicial da CVE e em todas as comunicações relacionadas entre diferentes partes.
Envio: o parceiro de CVE avalia os documentos enviados da vulnerabilidade, que devem incluir todas as informações necessárias para comprovar a presença da vulnerabilidade ou exposição, a causa raiz, o tipo de ameaça e o impacto.
Publicação: após todos os detalhes documentados serem verificados, a CNA publica a CVE, tornando-a pública.
Desafios de se manter informado sobre as últimas CVEs
As CVEs oferecem informações valiosas sobre as vulnerabilidades mais recentes dos sistemas de computador. No entanto, há muitas CVEs para analisar toda semana, e nem todas podem se aplicar ao cenário da sua organização. Esses anúncios só serão eficazes se você puder se manter atualizado.
A Equipe de Preparação para Emergências Informáticas dos Estados Unidos (US-CERT) é uma das organizações que fornece serviços de consultoria de segurança pública sobre as CVEs. Eles enviam um boletim semanal contendo as últimas CVEs classificadas por gravidade. Se você estiver tentando se manter informado, outra opção é assinar o feed RSS do banco de dados de notas de vulnerabilidade do CERT/CC para receber notificações em tempo real.
As plataformas de gerenciamento de vulnerabilidades podem aumentar a eficácia das iniciativas de segurança de TI da sua organização. Essas plataformas avaliam, pesquisam e reportam constantemente vulnerabilidade de ativos em sua infraestrutura e aplicação. Os dashboards gráficos ajudam você a ter uma visão geral da situação atual de ameaças, rastrear vulnerabilidades e receber informações de correção passo a passo.
Soluções de CVE
As CVEs desempenham um papel importante na disseminação de informações sobre novas vulnerabilidades e são vitais para a luta de uma organização contra ameaças à segurança.
Plataformas unificadas de gerenciamento de ameaças e vulnerabilidades, como CrowdStrike, ajudam você a pesquisar as CVEs e analisar perfis de atores de ameaças em tempo hábil. CrowdStrike Falcon® Spotlight oferece análise de ameaças em tempo real para sua infraestrutura e aplicação de TI. Para saber mais, inicie sua avaliação gratuita.
Arfan Sharif é líder de marketing de produtos para o portfólio de observabilidade na CrowdStrike. Ele tem mais de 15 anos de experiência em gerenciamento de log, ITOps, observabilidade, segurança e soluções de CX para empresas como Splunk, Genesys e Quest Software. Arfan formou-se em Ciência da Computação na Universidade Bucks and Chilterns e sua carreira abrange as áreas de Marketing de Produtos e Engenharia de Vendas.
