O que é sistema CVE e qual sua importância para o mercado de tecnologia da informação?

Em 2018, a empresa de materiais esportivos Under Armour sofreu um ataque em seu app MyFitnessPal que vazou as senhas de 150 milhões de usuários.

A falta de segurança em tecnologia trouxe sérios problemas a curto prazo: a companhia amargou um prejuízo de US$ 125,8 milhões de dólares. Pois bem, se os ataques a uma empresa americana trazem alertas, esse problema é ainda maior no Brasil.

Segundo dados da empresa de segurança, Check Point Softwares, em 2021 os ataques estão, em média, 62% mais frequentes na comparação ao ano anterior – são cerca de 967 por semana.

Uma das principais maneiras de as empresas se protegerem contra esses ataques, é por meio do compartilhamento de informações sobre riscos e vulnerabilidades. E essa é a função do sistema CVE, que conheceremos a seguir.

O que é o sistema CVE?

O CVE (Common Vulnerabilities and Exposures – Exposição e Vulnerabilidades Comuns) é uma numeração criada para indicar as principais vulnerabilidades dos sistemas de tecnologias.

Lançado pela The MITRE Corporation, em 1999, o CVE nasceu com o objetivo de padronizar os tipos de vulnerabilidades e riscos, atualizando constantemente uma espécie de dicionário que pode ser consultado por indivíduos e empresas.

Um fato muito importante do CVE, é oferecer acesso gratuito ao público que deseja realizar pesquisas sobre os tipos de vulnerabilidades e ferramentas de segurança.

Qual é a importância do sistema CVE para o mercado de tecnologia?

O sistema CVE é essencial para que os profissionais de tecnologia reúnam seus conhecimentos para encontrar soluções rápidas e efetivas para solucionar vulnerabilidades.

Por meio desse dicionário, os profissionais podem se manter atualizados em qualquer parte do mundo, sobre quaisquer problemas que afetem seus sistemas de tecnologia, encontrando rapidamente as soluções necessárias para mitigar os riscos.

Esse é um ponto essencial que ajudará qualquer perfil profissional – do júnior ao sênior – fortalecendo toda a comunidade de profissionais de TI.

Como acessar uma lista CVE?

Para entender como consultar e acessar uma lista CVE, é importante saber como a numeração CVE é apresentada, ou seja, como é a entrada. De maneira geral, o formato da numeração CVE conta com três chaves de identificação:

  • A sigla CVE;
  • O ano de atribuição da chave ou quando essa chave se tornou pública;
  • E sua ID é composta por uma determinada numeração.

Dessa maneira, um CVE poderia ser algo como CVE-2010-54276, CVE-2015-87392, CVE-2021-73291 e assim por diante.

Para encontrar uma lista CVE, basta acessar esta página de buscas no site oficial e pesquisar por termos ou ID de CVEs.

4 Dicas para pesquisar CVEs

Aqui, separamos 4 dicas para que você pesquise e encontre uma CVE mais rapidamente:

1.       Pesquisa via CVE ID: casa saiba a ID de uma determinada vulnerabilidade, basta pesquisá-la para encontrar a descrição.

2.       Pesquisa por palavra-chave: tente buscar por termos relacionados à vulnerabilidade, como ToolTalk, Sendmail e outras.

3.       Não faça buscas baseadas no sistema operacional: as CVEs têm como função agrupar vulnerabilidades e falhas, não para reunir problemas relacionados a um sistema operacional.

4.       Não crie expectativas sobre classificações e detalhes técnicos: o objetivo da CVE é uniformizar as vulnerabilidades sem entrar a fundo nos detalhes.

Qual é o significado da ID CVE?

Vale dizer que a ID CVE não é uma numeração definida aleatoriamente. Essa sequência tem como função manter o padrão de vulnerabilidades e fazer conexões com outros repositórios que utilizam IDs de CVE.

Essas descrições de entradas são definidas, de maneira geral, por autoridades, as Numbering Authorities (CNAs), por equipes CVE ou por pessoas que solicitam uma determinada ID.

Essas descrições, quando criadas como devem ser, incluem informações sobre o nome do produto e fornecedor afetado pela vulnerabilidade, quais versões foram afetadas, qual é o tipo da vulnerabilidade, o impacto causado, entre outros detalhes.

O que é o sistema CNA e qual a sua relação com o sistema CVE?

Como dissemos há pouco, as CNAs são autoridades de numeração CVE. O papel delas é essencial para organizar e facilitar o acesso às consultas sobre as vulnerabilidades.

Estima-se que exista, aproximadamente, 100 CNAs com o papel de representar empresas de segurança, fornecedores de TI e organizações de pesquisas.

O processo junto às CNAs funciona assim: essas autoridades recebem blocos de CVEs reservados às vulnerabilidades que forem descobertas e registradas. É dessa maneira que milhares de CVEs são emitidos todos os anos – dos sistemas operacionais mais simples aos mais complexos.

Quais são as vulnerabilidades listadas em sistema CVE?

Conforme a ISO 27000, as vulnerabilidades são fraquezas que um ativo apresenta e podem ser exploradas por uma ou mais ameaças.

Nesse sentido, de tempos em tempos, autoridades CNA indicam listas sobre as ameaças mais comumente encontradas no CVE. Entre os tipos mais encontrados com frequência, estão:

  • SQL Injection: ataque com o objetivo de injetar comandos SQL em brechas de páginas na web;
  • OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): um tipo de vulnerabilidade que permite a divulgação de informações no OpenSSL;
  • Joomla Object Injection Remote Command Execution (CVE-2015-8562): é uma vulnerabilidade que se aproveita da falta de validação de objetos de entrada, permitindo execuções remotas de código;
  • Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-77269): uma vulnerabilidade em que o invasor remoto faz uma solicitação criada em rede para o Microsoft Windows Server 2003 R2 via Microsoft Internet Information Service 6.0, permitindo a esse invasor a execução de um código arbitrário ou responder com negações de condições de serviço no servidor de destino;
  • Web Server Exposed Git Repository Information Disclosure: um tipo de exploração que pode viabilizar a divulgação não intencional sobre as informações de uma determinada conta.

Como proteger sua empresa das vulnerabilidades na era digital?

É impossível criar um ambiente 100% livre de vulnerabilidades, afinal, novas técnicas de ataques são desenvolvidas diariamente.

Logo, a melhor solução é apostar na gestão de vulnerabilidades, que tem como objetivo encontrar, identificar, analisar e corrigir as falhas. É por meio desse processo que a gestão de segurança em TI terá resultados mais efetivos para minimizar os impactos no ambiente.

A partir dessa classificação, a empresa poderá mapear e implementar mecanismos de segurança para melhorar continuamente seus sistemas de segurança. Nesse sentido, a prevenção e o check-upcontínuo são os melhores remédios para evitar as vulnerabilidades. Além, claro, de estudar as listas CVEs.

Faça parte do banco de talentos da Conquest One

Gostou das dicas e quer colocá-las em prática para a sua carreira? Cadastre-se agora mesmo no banco de talentos da CQ1 e fique mais perto das melhores empresas de tecnologia do país.

Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Not found Skip to content