O que é a classificação CVE em Cibersegurança?
Ao ler sobre a exploração de vulnerabilidades ou ver notícias sobre invasões e malwares, quase sempre nos deparamos com uma sigla quando mencionam tipos e níveis de vulnerabilidades, e esta é a sigla CVE, que significa “Common Vulnerabilities and Exposures”, ou “Vulnerabilidades e Exposições Comuns” em português.
Esta sigla compreende um conjunto de ameaças de segurança cibernética incluídas em um sistema de referência que funciona como um catálogo que provê a descrição de riscos mais conhecidos de forma pública pelo mundo. Esta lista é mantida pela MITRE Corporation (a mesma do Mitre Att&ck), que trabalha com pesquisa e desenvolvimento voltada para a cibersegurança e é ligada ao governo federal Norte Americano.
A CVE é importante porque funciona como um arcabouço para profissionais de segurança estarem à frente das ameaças, podendo identificar e entender uma vulnerabilidade a fim de fortalecer seus sistemas para se proteger do que pode estar à espreita.
As vulnerabilidades são problemas ou falhas no código de software que podem ser exploradas por hackers e outros atores mal-intencionados que podem usá-la para manipular dados, capturar informações, instalar malwares. Já uma exposição é tudo o que pode dar acesso ao sistema e permitir violação e vazamento de dados.
Assim como hackers de todo o tipo possuem seus kits e formas padronizadas para invadir e causar problemas, o CVE, Mitre e outras ferramentas são muito úteis para padronizar e organizar informações para analistas de blue team, red team, purple team, pesquisadores, professores e instituições, que se organizam e auxiliam a organização das informações, fomentando o catálogo em si.
Outros beneficiados são os desenvolvedores, que podem exercitar junto ao AppSec team (time de aplicações) o desenvolvimento seguro, com a aplicação de boas práticas de desenvolvimento com observância a mitigação de técnicas de cross-site scripting (XSS), SQL injection, entre outros.
Os IDs CVE são atribuídos a falhas que atendem a certos critérios. Elas devem ser:
- Corrigíveis de forma independente: a falha pode ser corrigida independentemente de outros bugs;
- Reconhecidas pelo fornecedor afetado OU documentadas: o fornecedor do software ou hardware reconhece o bug e admite o impacto negativo à segurança. Ou ele compartilha um relatório de vulnerabilidade que demonstra o impacto negativo do bug e a violação da política de segurança do sistema afetado;
- Afetam apenas uma base de código: falhas que impactam mais de uma solução recebem CVEs separados. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução afetada recebe um CVE único.
Os CVEs são muito importantes para que empresas e profissionais tenham uma linha de base para poderem classificar as vulnerabilidades e assim, poderem priorizar seus esforços da melhor maneira possível, dando prioridade ao que for mais grave e também permitindo que tal esforço seja mensurável.
Se o tema interessou a você, visite os sites https://www.cve.org/ e https://cve.mitre.org/ e navegue pelos diferentes CVEs para entender mais sobre essa ferramenta essencial da cibersegurança e da segurança da informação.
Fontes:
IBM. What is CVE (Common Vulnerabilities and Exposures)? Disponível em: https://www-ibm-com.translate.goog/think/topics/cve?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt&_x_tr_pto=tc. Acesso em: 02 jan. 2025.
FORTINET. O que é um CVE? Vulnerabilidades e exposições comuns definidas. Disponível em: https://www.fortinet.com/br/resources/cyberglossary/cve. Acesso em: 02 jan. 2025.
RED HAT. O que é CVE? Disponível em: https://www.redhat.com/pt-br/topics/security/what-is-cve. Acesso em: 02 jan. 2025.
