Definição e explicação – CVE.
O CVE define vulnerabilidade como “uma fraqueza na lógica computacional (por exemplo, código) encontrada em componentes de software e hardware que, quando explorada, resulta em um impacto negativo na confidencialidade, integridade ou disponibilidade. A mitigação das vulnerabilidades neste contexto normalmente envolve alterações de codificação, mas pode também incluem alterações de especificações ou mesmo descontinuações de especificações (por exemplo, remoção de protocolos ou funcionalidades afetadas em sua totalidade)”.
O objetivo principal do programa CVE (Common Vulnerabilities and Exposures) é identificar vulnerabilidades e associar versões específicas de bases de código a elas. O uso de CVEs garante que duas ou mais partes possam referir-se com segurança a um identificador (ID) CVE ao discutir ou compartilhar informações sobre uma vulnerabilidade única. Atualmente, existem aproximadamente 210.592 registros de CVEs publicados. Na Figura 1 é possível ver alguns dados sobre a quantidade de CVEs publicados no dia, na semana, mês, mês anterior e no ano até o momento.
Definição e explicação – CVSS.
O CVSS (Common Vulnerability Scoring System) é uma estrutura que trata da comunicação das características e gravidade das vulnerabilidades de softwares. São pontuadas variando de 0 a 10, uma sequência vetorial considerando as métricas especificas e uma representação textual compactada dos valores utilizados para derivar essa pontuação. Na Figura 2 é possível ver um exemplo de Base Score de CVSS.
A representação textual da Base Score é definida em Critical, High, Medium e Low, como é possível ver na Figura 3. Para o cálculo do CVSS considera-se também impacto e exploração.
Ao avaliar o impacto, os analistas do CVSS devem considerar os privilégios que o invasor possui antes de explorar uma vulnerabilidade e compará-los com os privilégios que possuem após a exploração. A mudança nos privilégios é então capturada nas Métricas de Impacto, ou seja, Confidencialidade, Integridade e Disponibilidade.
É sempre importante destacar que o CVSS foi projetado e é utilizado para medir a gravidade de uma vulnerabilidade e não deve ser usado sozinho para avaliar riscos.