® 
CVE
Definicio
CVE (Common Vulnerabilities and Exposures) es l'estandard global per numerar fallades de seguretat conegudes.
CVE (Common Vulnerabilities and Exposures) es el sistema estandard global per identificar i numerar vulnerabilitats de seguretat conegudes en programari i maquinari. El 2023 es van publicar mes de 29.000 nous CVE, un record que subratlla el creixement explosiu de vulnerabilitats descobertes.
Com funciona CVE?
Cada fallada de seguretat descoberta rep un numero CVE unic en el format CVE-ANY-SEQUENCIA, per exemple CVE-2024-3094. MITRE Corporation gestiona el programa CVE. Les CVE Numbering Authorities (CNA) com Microsoft, Google i Red Hat poden assignar numeros CVE independentment. Cada entrada CVE conte una descripcio de la vulnerabilitat, productes afectats i referencies a pedacos o mitigacions.
Puntuacio de gravetat CVSS
Cada CVE rep una puntuacio del Common Vulnerability Scoring System (CVSS) de 0,0 a 10,0. Les puntuacions de 9,0-10,0 son critiques, 7,0-8,9 altes, 4,0-6,9 mitjanes i 0,1-3,9 baixes. La puntuacio es basa en la complexitat d'explotacio, privilegis requerits, impacte en confidencialitat, integritat i disponibilitat.
Impacte per a les organitzacions
Les bases de dades CVE son la columna vertebral de la gestio de vulnerabilitats. Sense monitoratge de CVE, les organitzacions desconeixen quines vulnerabilitats conegudes existeixen als seus sistemes. Els atacants exploten CVE coneguts sovint en dies. La vulnerabilitat Log4Shell (CVE-2021-44228) va afectar milions de sistemes. NIS2 exigeix gestio sistematica de vulnerabilitats. ISO 27001 requereix un proces per identificar i tractar vulnerabilitats tecniques. PCI DSS exigeix pedacar vulnerabilitats critiques en 30 dies.
Proteccio
Implementeu un programa estructurat de gestio de vulnerabilitats que integri feeds CVE. Utilitzeu escaners que comprovin automaticament contra bases de dades CVE. Prioritzeu segons puntuacio CVSS, explotabilitat i rellevancia per a l'entorn especific. Automatitzeu processos de pegats on sigui possible.
Com ajuda DEFION
DEFION ofereix Continuous Vulnerability Management on l'equip monitoritza continuament feeds CVE i prioritza vulnerabilitats basant-se en el risc real. Els pentests validen si els CVE critics son realment explotables a la practica.