Whatsapp

O que é sistema CVE e qual sua importância para o mercado de tecnologia da informação?

Em 2018, a empresa de materiais esportivos Under Armour sofreu um ataque em seu app MyFitnessPal que vazou as senhas de 150 milhões de usuários.

A falta de segurança em tecnologia trouxe sérios problemas a curto prazo: a companhia amargou um prejuízo de US$ 125,8 milhões de dólares. Pois bem, se os ataques a uma empresa americana trazem alertas, esse problema é ainda maior no Brasil.

Segundo dados da empresa de segurança, Check Point Softwares, em 2021 os ataques estão, em média, 62% mais frequentes na comparação ao ano anterior – são cerca de 967 por semana.

Uma das principais maneiras de as empresas se protegerem contra esses ataques, é por meio do compartilhamento de informações sobre riscos e vulnerabilidades. E essa é a função do sistema CVE, que conheceremos a seguir.

O que é o sistema CVE?

O CVE (Common Vulnerabilities and Exposures – Exposição e Vulnerabilidades Comuns) é uma numeração criada para indicar as principais vulnerabilidades dos sistemas de tecnologias.

Lançado pela The MITRE Corporation, em 1999, o CVE nasceu com o objetivo de padronizar os tipos de vulnerabilidades e riscos, atualizando constantemente uma espécie de dicionário que pode ser consultado por indivíduos e empresas.

Um fato muito importante do CVE, é oferecer acesso gratuito ao público que deseja realizar pesquisas sobre os tipos de vulnerabilidades e ferramentas de segurança.

Qual é a importância do sistema CVE para o mercado de tecnologia?

O sistema CVE é essencial para que os profissionais de tecnologia reúnam seus conhecimentos para encontrar soluções rápidas e efetivas para solucionar vulnerabilidades.

Por meio desse dicionário, os profissionais podem se manter atualizados em qualquer parte do mundo, sobre quaisquer problemas que afetem seus sistemas de tecnologia, encontrando rapidamente as soluções necessárias para mitigar os riscos.

Esse é um ponto essencial que ajudará qualquer perfil profissional – do júnior ao sênior – fortalecendo toda a comunidade de profissionais de TI.

Como acessar uma lista CVE?

Para entender como consultar e acessar uma lista CVE, é importante saber como a numeração CVE é apresentada, ou seja, como é a entrada. De maneira geral, o formato da numeração CVE conta com três chaves de identificação:

  • A sigla CVE;
  • O ano de atribuição da chave ou quando essa chave se tornou pública;
  • E sua ID é composta por uma determinada numeração.

Dessa maneira, um CVE poderia ser algo como CVE-2010-54276, CVE-2015-87392, CVE-2021-73291 e assim por diante.

Para encontrar uma lista CVE, basta acessar esta página de buscas no site oficial e pesquisar por termos ou ID de CVEs.

4 Dicas para pesquisar CVEs

Aqui, separamos 4 dicas para que você pesquise e encontre uma CVE mais rapidamente:

1.       Pesquisa via CVE ID: casa saiba a ID de uma determinada vulnerabilidade, basta pesquisá-la para encontrar a descrição.

2.       Pesquisa por palavra-chave: tente buscar por termos relacionados à vulnerabilidade, como ToolTalk, Sendmail e outras.

3.       Não faça buscas baseadas no sistema operacional: as CVEs têm como função agrupar vulnerabilidades e falhas, não para reunir problemas relacionados a um sistema operacional.

4.       Não crie expectativas sobre classificações e detalhes técnicos: o objetivo da CVE é uniformizar as vulnerabilidades sem entrar a fundo nos detalhes.

Qual é o significado da ID CVE?

Vale dizer que a ID CVE não é uma numeração definida aleatoriamente. Essa sequência tem como função manter o padrão de vulnerabilidades e fazer conexões com outros repositórios que utilizam IDs de CVE.

Essas descrições de entradas são definidas, de maneira geral, por autoridades, as Numbering Authorities (CNAs), por equipes CVE ou por pessoas que solicitam uma determinada ID.

Essas descrições, quando criadas como devem ser, incluem informações sobre o nome do produto e fornecedor afetado pela vulnerabilidade, quais versões foram afetadas, qual é o tipo da vulnerabilidade, o impacto causado, entre outros detalhes.

O que é o sistema CNA e qual a sua relação com o sistema CVE?

Como dissemos há pouco, as CNAs são autoridades de numeração CVE. O papel delas é essencial para organizar e facilitar o acesso às consultas sobre as vulnerabilidades.

Estima-se que exista, aproximadamente, 100 CNAs com o papel de representar empresas de segurança, fornecedores de TI e organizações de pesquisas.

O processo junto às CNAs funciona assim: essas autoridades recebem blocos de CVEs reservados às vulnerabilidades que forem descobertas e registradas. É dessa maneira que milhares de CVEs são emitidos todos os anos – dos sistemas operacionais mais simples aos mais complexos.

Quais são as vulnerabilidades listadas em sistema CVE?

Conforme a ISO 27000, as vulnerabilidades são fraquezas que um ativo apresenta e podem ser exploradas por uma ou mais ameaças.

Nesse sentido, de tempos em tempos, autoridades CNA indicam listas sobre as ameaças mais comumente encontradas no CVE. Entre os tipos mais encontrados com frequência, estão:

  • SQL Injection: ataque com o objetivo de injetar comandos SQL em brechas de páginas na web;
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): um tipo de vulnerabilidade que permite a divulgação de informações no OpenSSL;
  • Joomla Object Injection Remote Command Execution (CVE-2015-8562): é uma vulnerabilidade que se aproveita da falta de validação de objetos de entrada, permitindo execuções remotas de código;
  • Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-77269): uma vulnerabilidade em que o invasor remoto faz uma solicitação criada em rede para o Microsoft Windows Server 2003 R2 via Microsoft Internet Information Service 6.0, permitindo a esse invasor a execução de um código arbitrário ou responder com negações de condições de serviço no servidor de destino;
  • Web Server Exposed Git Repository Information Disclosure: um tipo de exploração que pode viabilizar a divulgação não intencional sobre as informações de uma determinada conta.

Como proteger sua empresa das vulnerabilidades na era digital?

É impossível criar um ambiente 100% livre de vulnerabilidades, afinal, novas técnicas de ataques são desenvolvidas diariamente.

Logo, a melhor solução é apostar na gestão de vulnerabilidades, que tem como objetivo encontrar, identificar, analisar e corrigir as falhas. É por meio desse processo que a gestão de segurança em TI terá resultados mais efetivos para minimizar os impactos no ambiente.

A partir dessa classificação, a empresa poderá mapear e implementar mecanismos de segurança para melhorar continuamente seus sistemas de segurança. Nesse sentido, a prevenção e o check-upcontínuo são os melhores remédios para evitar as vulnerabilidades. Além, claro, de estudar as listas CVEs.

Faça parte do banco de talentos da Conquest One

Gostou das dicas e quer colocá-las em prática para a sua carreira? Cadastre-se agora mesmo no banco de talentos da CQ1 e fique mais perto das melhores empresas de tecnologia do país.

Share on facebook
Share on twitter
Share on linkedin

Phone
BR +55 11 2164 9500
US +1 415 738 2085
PT +351 915 277 995

Brasil • São Paulo
Av. das nações unidas, 14.261 25º andar • Ala B

Working Hours
Monday to Friday from 8:00 AM - 6:00 PM
Brazil GMT -3

Portugal • Lisboa
50 Alexandre Herculano St, Lisbon

 

Newsletter

Sign up to receive news

Privacy Policy
Linkedin Facebook Twitter Youtube
Copyright © 2022 ConquestOne, Conquest One All rights reserved
Not found

Regulamento 2022
Termo de Regulamento da Campanha CQ1 Refer2Gain

1. O Programa
O CQ1 Refer2Gain é a campanha da Conquest One que recompensa pessoas que contribuem com a missão de conectar talentos1 de tecnologia com as melhores oportunidades em todo o mundo.


2. Regras Gerais
Objetivo
A campanha tem como objetivo reconhecer e recompensar as pessoas participantes pelas seguintes ações:
• Quando a pessoa participante se auto cadastrar na plataforma CQ1 Talent.
• Quando a pessoa participante indicar talentos de tecnologia para se cadastrarem na plataforma CQ1 Talent.
• Quando a Conquest One contratar talentos indicados pela pessoa participante.

Inscrição
• Para se registrar na campanha de Indicação, a inscrição deve ser feita na página https://www.conquestone.com/cq1-refer2gain e para que esta seja válida a pessoa interessada deverá realizar todas as etapas de autenticação. A Conquest One irá rejeitar a tentativa de cadastro caso já exista algum perfil vigente associado à pessoa, ou ainda, se identificada a tentativa de quaisquer práticas fraudulentas.
• A Conquest One se reserva ao direito de excluir a pessoa participante do programa a seu exclusivo critério, imediatamente e sem aviso sempre que for praticada pelo participante qualquer violação as regras aqui dispostas.
1 Talentos: Qualquer profissional ou pessoa prestadora de serviço.
• Após se cadastrar a pessoa participante tem ciência do regulamento para participar e autoriza o envio de e-mails, ligações telefônicas ou mensagens curtas de texto (SMS e aplicativos) relacionadas estritamente com a campanha.

Indicação
• Após a confirmação do cadastro, a Pessoa Participante já estará apta a realizar indicações compartilhando seu código único de validação2, através de um link para a página de indicação ou informando o e-mail do talento indicado.
• O talento indicado recebera um link, o qual deverá acessar e realizar o cadastro na plataforma CQ1 Talent e informar o código único de validação.
• Para que a indicação seja considerada válida:
o A pessoa indicada, deverá obrigatoriamente informar o código único de validação da pessoa indicadora.
o A pessoa indicada deverá preencher pelo menos 80% do cadastro.
• Uma vez cadastrados os talentos indicados ficarão associados a pessoa indicadora e não poderão ser indicados por outras pessoas participantes.
• Não serão consideradas indicações de profissionais para este programa, se elas forem realizadas através de outros meios tais como: verbalmente e/ou via WhatsApp, SMS, e-mail, ou qualquer outro canal que não seja a página oficial da campanha.
• Em caso de fraude ou tentativa de fraude comprovada, a pessoa participante será automaticamente banida da campanha, independente do envio de qualquer comunicação. Considera-se fraude qualquer processo que vise burlar intencionalmente a campanha, de modo que resulte em perdas ou prejuízos para a empresa Organizadora, para outras pessoas participantes, para as empresas parceiras responsáveis pelo resgate de pontos ou qualquer outra empresa ou pessoa envolvidas na execução do Programa.


Recompensa

Ação CQ1 Coins * **
Auto cadastro do Talento Indicado 1
Indicação de cadastro de novo talento 1
Contratação de talento indicado
Nesse caso são atribuídos 50 pontos a pessoa indicadora
e 50 pontos ao talento contratado
 50

(*) CQ1 Coins: Pontos atribuídos pelas ações, que podem ser convertidos em criptoativos ou créditos para utilização em plataformas parceiras. (**) Cada CQ1 Coin equivale a um US$1,00.

Regras de Premiação
• Os CQ1 Coins somente serão atribuídos a pessoa participante se o cadastro dela e do talento indicado alcançarem o mínimo de 80% das informações preenchidas.
• A atribuição de pontos pela contratação só ocorrerá:
o Na 1ª Contratação, do talento indicado.
o Após o período de garantia da contratação (3 meses).
o Só serão consideradas válidas as contratações realizadas exclusivamente pela Conquest One, não sendo passíveis de premiação qualquer contratação realizada por empresa terceiras através da plataforma CQ1 Talent.
Resgate dos CQ1 Coins
• A Pessoa Participante será notificada sobre a disponibilização dos CQ1 Coins para resgate.
• O Resgate dos CQ1 Coins poderá ocorrer quando o participante atingir o volume mínimo de 50 CQ1 Coins na plataforma.
• Os CQ1 Coins irão expirar após 1 ano, caso a pessoa participante não realize o resgate.
• É de decisão da pessoa participante converter os CQ1 Coins em criptoativos ou utilizá-los nas plataformas parceiras.
• Após o resgate dos CQ1 Coins as tratativas e regras de utilização são de responsabilidade do parceiro escolhido pela pessoa participante.
• Os CQ1 Coins são intransferíveis e só poderão ser resgatados pela pessoa participante.


3. Modificações
• A Conquest One pode modificar qualquer um dos termos e condições deste regulamento a qualquer momento, a seu exclusivo critério. Nesse caso, as atualizações e ou modificações serão sempre publicadas na página da campanha vigente (https://www.conquestone.com/cq1-refer2gain) e caberá aos participantes consultar os termos periodicamente.
• Caso a campanha seja encerrada, a pessoa participante continuará com seu perfil ativo na plataforma CQ1 Talent e poderá resgatar o saldo disponível dentro do período de 1 (um) ano, desde que atenda aos requisitos para resgate detalhados no item 2 deste regulamento.
• As modificações podem incluir, mas não se limitam a alterações nos procedimentos de pagamento e nas regras da Campanha de Indicação. Se qualquer modificação for inaceitável para a Pessoa Participante, sua única opção é interromper sua parceria com a Campanha.
• A participação continuada na Campanha de Indicação Refer2Gain após a alteração ou a publicação de um novo termo em nosso site indicará sua concordância com as alterações

Skip to content