{"id":329,"date":"2019-10-24T13:53:23","date_gmt":"2019-10-24T13:53:23","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=329"},"modified":"2020-05-13T10:53:41","modified_gmt":"2020-05-13T13:53:41","slug":"explicar-o-cve-e-o-cvss","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/","title":{"rendered":"Explicando o CVE e o CVSS"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><h6 id=\"o-cve-e-o-cvss-est\u00e3o-entre-os-aspectos-mais-incompreendidos-de-patching-hoje-em-dia-explore-as-diferen\u00e7as-e-veja-como-eles-afetam-a-sua-estrat\u00e9gia-de-patching\">O CVE e o CVSS est\u00e3o entre os aspectos mais incompreendidos de\u00a0<em>patching<\/em>\u00a0hoje em dia. Explore as diferen\u00e7as e veja como eles afetam a sua estrat\u00e9gia de\u00a0<em>patching<\/em>.<\/h6>\n<p>Apesar de muitos gerentes de T.I estarem familiarizados com esses termos, CVE e CVSS est\u00e3o entre os aspectos mais incompreendidos em\u00a0<em>patching<\/em>\u00a0hoje em dia. Essas duas terminologias diferentes s\u00e3o sin\u00f4nimos de sistemas operacionais, vulnerabilidades de\u00a0<em>software<\/em>\u00a0e\u00a0<em>patching<\/em>. Por isso resolvemos explicar o CVE e o CVSS.<\/p><div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/#O_que_e_o_CVE\" >O que \u00e9 o CVE?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/#O_que_e_a_pontuacao_CVSS\" >O que \u00e9 a pontua\u00e7\u00e3o CVSS?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/#As_pontuacoes_CVSS_sao_realmente_necessarias_Prove\" >As pontua\u00e7\u00f5es CVSS s\u00e3o realmente necess\u00e1rias? Prove!<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/explicar-o-cve-e-o-cvss\/#Qual_a_solucao\" >Qual a solu\u00e7\u00e3o?<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 id=\"o-que-\u00e9-o-cve\"><span class=\"ez-toc-section\" id=\"O_que_e_o_CVE\"><\/span>O que \u00e9 o CVE?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O n\u00famero do CVE (sigla em ingl\u00eas para\u00a0<em>Common Vulnerabilities and Exposures<\/em>, traduzido para Exposi\u00e7\u00f5es e vulnerabilidades comuns) \u00e9 um identificador usado por fornecedores como a Microsoft, RedHat e Adobe para catalogar vulnerabilidades individuais dos quais patches s\u00e3o providos como solu\u00e7\u00e3o. Por exemplo, toda p\u00e1gina de um livro tem um \u00fanico n\u00famero, isto resolve o problema sobre precisar achar uma informa\u00e7\u00e3o espec\u00edfica de uma p\u00e1gina rapidamente.<\/p>\n<p>Normalmente, todos os n\u00fameros de CVE seguem este padr\u00e3o: CVE-nnnn-nnnn. Como podemos ver, h\u00e1 escopo para milh\u00f5es de vulnerabilidades.<\/p>\n<p>\u201cNossos clientes devem se sentir confiantes de que seus n\u00fameros CVE n\u00e3o pertencem a nenhum fornecedor de software espec\u00edfico.\u201d Disse Robert Brown, Diretor de Servi\u00e7os da Verismic Software.\u201d Portanto, \u00e9 um banco de dados imparcial e independente para que todos os fornecedores publiquem suas vulnerabilidades.\u201d<\/p>\n<p>Isso significa tamb\u00e9m que os fornecedores precisam publicar conte\u00fados transparentemente para os bancos de dados. Isso oferece pelo menos uma garantia da precis\u00e3o dos dados. Cada companhia que deseja publicar seus an\u00fancios de vulnerabilidade precisam se tornar um CNA (sigla em ingl\u00eas para CVE Numbering Authority, traduzido para Autoridade de Numera\u00e7\u00e3o CVE) antes de sua participa\u00e7\u00e3o ser considerada confi\u00e1vel.<\/p>\n<p>Os fornecedores devem incluir o m\u00e1ximo de informa\u00e7\u00f5es poss\u00edveis para cada registro de CVE. Por exemplo:<\/p>\n<ul>\n<li>N\u00famero CVE<\/li>\n<li>Descri\u00e7\u00e3o da vulnerabilidade<\/li>\n<li>Severidade<\/li>\n<li>Refer\u00eancias a outros registros de CVE (conhecidos como <em>supersession<\/em>)<\/li>\n<li>Hist\u00f3rico de mudan\u00e7as<\/li>\n<li>Data de publica\u00e7\u00e3o<\/li>\n<\/ul>\n<h2 id=\"o-que-\u00e9-a-pontua\u00e7\u00e3o-cvss\"><span class=\"ez-toc-section\" id=\"O_que_e_a_pontuacao_CVSS\"><\/span>O que \u00e9 a pontua\u00e7\u00e3o CVSS?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O CVSS (sigla em ingl\u00eas para Common Vulnerability Scoring System) \u00e9 uma pontua\u00e7\u00e3o atribu\u00edda independentemente (de 0 \u00e0 10) na qual \u00e9 baseada em uma grande quantidade de fatores para determinar a import\u00e2ncia da vulnerabilidade. Para comparar a pontua\u00e7\u00e3o de CVSS, vamos ver como a Microsoft pontua suas vulnerabilidades.<\/p>\n<p>O sistema de avalia\u00e7\u00e3o \u00e9 relativamente simples:<\/p>\n<ol>\n<li><strong>Cr\u00edtico<\/strong>\u00a0\u2013 Uma vulnerabilidade que pode permitir a execu\u00e7\u00e3o de c\u00f3digo remoto sem a intera\u00e7\u00e3o do usu\u00e1rio ou onde os c\u00f3digo s\u00e3o executados sem avisos ou prompts.<\/li>\n<li><strong>Importante<\/strong>\u00a0\u2013 Vulnerabilidades onde o cliente \u00e9 comprometido com avisos ou prompts e cuja explora\u00e7\u00e3o pode resultar em comprometimento de dados.<\/li>\n<li><strong>Moderada<\/strong>\u00a0\u2013 O impacto \u00e9 mitigado por uma s\u00e9rie de fatores como autentica\u00e7\u00e3o ou aplicativos n\u00e3o nativos sendo afetados.<\/li>\n<li><strong>Baixa<\/strong>\u00a0\u2013 O impacto \u00e9 mitigado de forma abrangente pelas caracter\u00edsticas do componente mitigado.<\/li>\n<li><strong>N\/D<\/strong>\u00a0\u2013 N\u00e3o dispon\u00edvel<\/li>\n<\/ol>\n<p>Contudo, a abordagem da Microsoft alto certifica vulnerabilidades em seus produtos.<\/p>\n<p>Gerar uma pontua\u00e7\u00e3o CVSS \u00e9 bem complexa, mas leva em considera\u00e7\u00e3o algumas quest\u00f5es importantes:<\/p>\n<ol>\n<li>Qu\u00e3o prov\u00e1vel \u00e9 da vulnerabilidade ser explorada? Voc\u00ea precisar\u00e1 de acesso f\u00edsico ou pela rede? E voc\u00ea precisar\u00e1 de privil\u00e9gios elevados?<\/li>\n<li>Voc\u00ea pode explor\u00e1-lo pela internet ou voc\u00ea precisar\u00e1 de acesso f\u00edsico?<\/li>\n<li>Um software ou uma configura\u00e7\u00e3o espec\u00edfica de software ser\u00e1 necess\u00e1rio?<\/li>\n<li>Quanto de intera\u00e7\u00e3o do usu\u00e1rio final \u00e9 necess\u00e1rio?<\/li>\n<\/ol>\n<p>Cada uma das quest\u00f5es acima (e muitas outras) s\u00e3o organizadas em uma sub-pontua\u00e7\u00e3o calculada. A pontua\u00e7\u00e3o ent\u00e3o \u00e9 calculada em uma nota que vai de 0 \u00e0 10. Os especialista do setor acreditam que isso oferece uma forma mais precisa de determinar a rapidez com que voc\u00ea deve agir caso haja alguma dessas vulnerabilidades em seu ambiente.<\/p>\n<table>\n<thead>\n<tr>\n<th><\/th>\n<th><\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Pontua\u00e7\u00e3o<\/strong><\/td>\n<td><strong>Pontua\u00e7\u00e3o CVSS<\/strong><\/td>\n<\/tr>\n<tr>\n<td>Nenhuma<\/td>\n<td>0.0<\/td>\n<\/tr>\n<tr>\n<td>Baixa<\/td>\n<td>0.1 &#8211; 3.9<\/td>\n<\/tr>\n<tr>\n<td>M\u00e9dia<\/td>\n<td>4.0 &#8211; 6.9<\/td>\n<\/tr>\n<tr>\n<td>Alta<\/td>\n<td>7.0 &#8211; 8.9<\/td>\n<\/tr>\n<tr>\n<td>Cr\u00edtica<\/td>\n<td>9.0 &#8211; 10.0<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2 id=\"as-pontua\u00e7\u00f5es-cvss-s\u00e3o-realmente-necess\u00e1rias-prove\"><span class=\"ez-toc-section\" id=\"As_pontuacoes_CVSS_sao_realmente_necessarias_Prove\"><\/span>As pontua\u00e7\u00f5es CVSS s\u00e3o realmente necess\u00e1rias? Prove!<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Vamos pegar alguns updates do Patch Tuesday de agosto de 2019 e alguns outros para comparar<\/p>\n<table>\n<thead>\n<tr>\n<th><strong>Fornecedor<\/strong><\/th>\n<th><strong>Nome do Patch<\/strong><\/th>\n<th><strong>Seguran\u00e7a do fornecedor<\/strong><\/th>\n<th><strong>Pontua\u00e7\u00e3o CVSS<\/strong><\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Google<\/td>\n<td>Chrome_v76.0.3809.100<\/td>\n<td>N\/D<\/td>\n<td>Alto &#8211; 8.8<\/td>\n<\/tr>\n<tr>\n<td>Microsoft<\/td>\n<td>KB4462137<\/td>\n<td>Cr\u00edtico<\/td>\n<td>Alto &#8211; 7.8<\/td>\n<\/tr>\n<tr>\n<td>Microsoft<\/td>\n<td>KB4474419<\/td>\n<td>N\/D<\/td>\n<td>Cr\u00edtico &#8211; 9.8<\/td>\n<\/tr>\n<tr>\n<td>Microsoft<\/td>\n<td>KB4508433<\/td>\n<td>N\/D<\/td>\n<td>Cr\u00edtico &#8211; 9.8<\/td>\n<\/tr>\n<tr>\n<td>The Document Foundation<\/td>\n<td>LibreOffice_v6.2.5<\/td>\n<td>N\/D<\/td>\n<td>Cr\u00edtico &#8211; 9.8<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Como podemos ver no exemplo acima, a severidade do fornecedor e da pontua\u00e7\u00e3o CVSS nem sempre est\u00e3o alinhadas. Se voc\u00ea pegar a avalia\u00e7\u00e3o de severidade da Microsoft pelo valor nominal, voc\u00ea potencialmente estar\u00e1 desperdi\u00e7ando dois dos ativos mais preciosos que voc\u00ea tem \u2013 tempo e recurso. Lan\u00e7ar muitos patches atrav\u00e9s de um enorme ambiente de T.I distribu\u00eddo leva tempo.<\/p>\n<p>Quanto mais tempo uma vulnerabilidade \u00e9 deixada sem um patch de corre\u00e7\u00e3o, maior o risco de dela ser explorada por um atacante. Evid\u00eancias sugerem que ataques contra vulnerabilidades conhecidas tem um pico nas horas ou dias ap\u00f3s o lan\u00e7amento dos patches \u2013 por isso \u00e9 importante saber o qu\u00e3o urgente uma vulnerabilidade \u00e9.<\/p>\n<h2 id=\"qual-a-solu\u00e7\u00e3o\"><span class=\"ez-toc-section\" id=\"Qual_a_solucao\"><\/span>Qual a solu\u00e7\u00e3o?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pegue qualquer vulnerabilidade e comece a analisar as pontua\u00e7\u00f5es avaliadas independentemente, como o CVSS. Todo m\u00eas a US-CERT \/ NIST usa o CVSS para avaliar a maioria dos patches no mesmo dia em que eles s\u00e3o lan\u00e7ados. Isso d\u00e1 uma melhor ideia do n\u00edvel de risco de uma vulnerabilidade em particular para o seu neg\u00f3cio.<\/p>\n<p>Baixa disponibilidade pode ser extremamente custosa para um neg\u00f3cio. A melhor abordagem para aplicar patches \u00e9 ter uma janela dedicada de tempo de inatividade todos os meses para atualizar os sistemas. Caso tenha algum problema de compatibilidade com um patch e os sistemas precisam ser revertidos ao estado anterior, isso acaba aumentando o tempo de indisponibilidade de um servi\u00e7o e pode impactar o funcionamento do neg\u00f3cio de uma forma geral.<\/p>\n<p>Entretanto, este \u00e9 um servi\u00e7o que oferecemos com o cliente. N\u00f3s analisamos o c\u00f3digo bin\u00e1rio de cada atualiza\u00e7\u00e3o de patch e come\u00e7amos a fase de testes e piloto do update antes de implement\u00e1-los via Syxsense. Isso nos permite descobrir quaisquer problemas com as atualiza\u00e7\u00f5es de patch antes delas serem implementadas.<\/p>\n<p>Patching \u00e9 sobre melhorar sua postura de seguran\u00e7a. Adotando uma abordagem calculada e usando pontua\u00e7\u00f5es avaliadas de forma independente, voc\u00ea pode confidentemente priorizar quais patches voc\u00ea precisa implementar em seu ambiente.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/syxsense_trial\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-426 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2019\/12\/syxsense-trial-bottom.jpg\" alt=\"CVE CVSS\" width=\"1000\" height=\"250\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2019\/12\/syxsense-trial-bottom.jpg 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2019\/12\/syxsense-trial-bottom-300x75.jpg 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2019\/12\/syxsense-trial-bottom-768x192.jpg 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p>Saiba mais: <a href=\"https:\/\/aiqon.com.br\/blog\/estrategia-para-gerenciamento-de-patch\/\">Como criar uma estrat\u00e9gia de patching para o seu ambiente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>O CVE e o CVSS est\u00e3o entre os aspectos mais incompreendidos de\u00a0patching\u00a0hoje em dia. Explore as diferen\u00e7as e veja como eles afetam a sua estrat\u00e9gia de\u00a0patching. Apesar de muitos gerentes de T.I estarem familiarizados com esses termos, CVE e CVSS est\u00e3o entre os aspectos mais incompreendidos em\u00a0patching\u00a0hoje em dia. Essas duas terminologias diferentes s\u00e3o sin\u00f4nimos [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":330,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[8],"tags":[9,10,11],"class_list":["post-329","post","type-post","status-publish","format-standard","has-post-thumbnail","category-patch-management","tag-patch","tag-seguranca","tag-syxsense","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2020\/02\/cve-e-cvss-1.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=329"}],"version-history":[{"count":5,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/329\/revisions"}],"predecessor-version":[{"id":1052,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/329\/revisions\/1052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/330"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}