Un CVE es una vulnerabilidad de ciberseguridad divulgada públicamente. La División Nacional de Ciberseguridad del US-CERT asigna identificadores únicos a estas vulnerabilidades, que se conocen como números CVE. Los números CVE ayudan a estandarizar la industria de la seguridad de la información y permiten las referencias cruzadas entre los productos de seguridad y las bases de datos.
Una entrada CVE contiene una descripción de la vulnerabilidad y su impacto potencial, así como enlaces a recursos relacionados. Las entradas de CVE son creadas por las Autoridades de Numeración de CVE (CNAs) después de recibir la noticia de una nueva vulnerabilidad.
¿Qué es el CVSS en seguridad?
CVSS son las siglas de Common Vulnerability Scoring System. Es un marco que los expertos en seguridad pueden utilizar para calificar la gravedad de una determinada vulnerabilidad.
Hay tres grupos de métricas CVSS -Base, Temporal y Ambiental- cada uno con un cálculo único. El grupo Base es el único requerido, y cubre las cualidades intrínsecas de una vulnerabilidad. El grupo Temporal capta las características de una vulnerabilidad que pueden cambiar con el tiempo. El grupo Ambiental refleja las características de una vulnerabilidad que pueden variar de un usuario a otro.
Las puntuaciones CVSS van de 0,0 a 10,0, siendo 10,0 la más grave. Una puntuación de 0,0 significa que no hay riesgo, mientras que una puntuación de 10,0 significa que la vulnerabilidad es altamente crítica.
El CVSS es importante porque proporciona una forma coherente de comunicar la gravedad de una determinada vulnerabilidad. Esto es valioso tanto para los expertos en seguridad como para los que no lo son. También es útil para priorizar qué vulnerabilidades deben abordarse primero.
¿Qué significa CVSS en seguridad? CVSS es el Sistema de Puntuación de Vulnerabilidad Común. Es un marco que proporciona una forma de puntuar la gravedad de una vulnerabilidad concreta. La puntuación pretende ser una medida objetiva que puede utilizarse para comparar diferentes vulnerabilidades. El CVSS tiene en cuenta una serie de factores que incluyen la naturaleza de la vulnerabilidad, el impacto potencial y la facilidad para explotarla.
¿Cómo se crea el CVE?
CVE (Common Vulnerabilities and Exposures) es una lista de entradas -cada una de las cuales contiene un número de identificación, una descripción y al menos una referencia pública- para las vulnerabilidades de ciberseguridad conocidas públicamente.Los identificadores comunes de CVE permiten el intercambio de datos entre productos de seguridad y proporcionan una medida para determinar la exposición de los sistemas informáticos a las amenazas de seguridad.
El CVE está patrocinado por el US-CERT del Departamento de Seguridad Nacional y está gestionado por MITRE Corporation. Las entradas del CVE se crean en un proceso de colaboración, y las nuevas entradas suelen ser asignadas por las Autoridades de Numeración del CVE (CNA), que son designadas por el CVE y aprobadas por el US-CERT. Los números CVE no se asignan a las vulnerabilidades que no son conocidas públicamente, y no todas las vulnerabilidades conocidas públicamente reciben un número CVE.
Cuando una CNA tiene conocimiento de una nueva vulnerabilidad públicamente conocida, le asigna un identificador CVE y la envía a CVE para su inclusión en la lista CVE. El CVE pondrá entonces el identificador CVE y la descripción a disposición del público. En algunos casos, el CVE también incluirá enlaces a información adicional sobre la vulnerabilidad. ¿Quién mantiene la base de datos CVE? La base de datos CVE es mantenida por la Agencia Nacional de Ciberseguridad e Infraestructura de los Estados Unidos (CISA).
¿Qué respuesta describe mejor el propósito de CVE?
El propósito de CVE es proporcionar un identificador común y estandarizado para las vulnerabilidades de ciberseguridad conocidas públicamente. Esto permite a diferentes organizaciones compartir información sobre estas vulnerabilidades y facilita su seguimiento.