Base de datos nacional de vulnerabilidad

La base de datos nacional de vulnerabilidades ( NVD ) es el depósito del gobierno de los EE. UU. De datos de gestión de vulnerabilidades basados en estándares representados mediante el protocolo de automatización de contenido de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. NVD es compatible con el Programa de automatización de seguridad de la información (ISAP).

El viernes 8 de marzo de 2013, la base de datos se desconectó después de que se descubrió que el sistema utilizado para ejecutar varios sitios gubernamentales se había visto comprometido por una vulnerabilidad de software de Adobe ColdFusion . ^[1]^[2]

En junio de 2017, la empresa de inteligencia de amenazas Recorded Future reveló que el retraso medio entre la revelación de un CVE2 y su publicación final en el NVD es de 7 días y que el 75% de las vulnerabilidades se publican de manera no oficial antes de llegar al NVD, lo que da a los atacantes tiempo para explotar la vulnerabilidad. ^[3]

Además de proporcionar una lista de vulnerabilidades y exposiciones comunes (CVE), el NVD califica las vulnerabilidades utilizando el Sistema de puntuación de vulnerabilidad común (CVSS), que se basa en un conjunto de ecuaciones que utilizan métricas como la complejidad del acceso y la disponibilidad de un remedio. ^[4]

Ver también

Referencias

^ a las 17:55, Jack Clark en San Francisco el 14 de marzo de 2013. "Catálogo vuln estadounidense derribado infectado durante al menos DOS MESES" . www.theregister.co.uk . Consultado el 29 de octubre de 2019 .
^ "Hackearon la base de datos de vulnerabilidad nacional de Estados Unidos".
^ "75% de Vulns compartido en línea antes de la publicación de NVD" . Lectura oscura . Consultado el 29 de octubre de 2019 .
^ "NVD - Ecuaciones CVSS v2" . nvd.nist.gov . Archivado desde el original el 21 de diciembre de 2013.

enlaces externos

Sitio web oficial
Protocolo de automatización de contenido de seguridad (SCAP)
Tormenta de paquetes
Explotar la base de datos
Base de datos de contenido de seguridad

Este artículo relacionado con el gobierno de los Estados Unidos es un esbozo . Puedes ayudar a Wikipedia expandiéndolo .

[1] s 17:55, Jack Clark en San Francisco el 14 de marzo de 2013. "Catálogo vuln estadounidense derribado infectado durante al menos DOS MESES" . www.theregister.co.uk . Consultado el 29 de octubre de 2019 .

[2] "Hackearon la base de datos de vulnerabilidad nacional de Estados Unidos".

[3] "75% de Vulns compartido en línea antes de la publicación de NVD" . Lectura oscura . Consultado el 29 de octubre de 2019 .

[4] "NVD - Ecuaciones CVSS v2" . nvd.nist.gov . Archivado desde el original el 21 de diciembre de 2013.

[1]