Una base de datos de vulnerabilidades (VDB) es una plataforma destinada a recopilar, mantener y difundir información sobre vulnerabilidades de seguridad informática descubiertas . La base de datos describirá habitualmente la vulnerabilidad identificada, evaluará el impacto potencial en los sistemas afectados y cualquier solución alternativa o actualización para mitigar el problema. Un VDB asignará un identificador único a cada vulnerabilidad catalogada, como un número (por ejemplo, 123456) o una designación alfanumérica (por ejemplo, VDB-2020-12345). La información de la base de datos puede estar disponible a través de páginas web, exportaciones o API . Un VDB puede proporcionar la información de forma gratuita, de pago o una combinación de ambos.
Historia
La primera base de datos de vulnerabilidades fue "Repaired Security Bugs in Multics", publicado el 7 de febrero de 1973 por Jerome H. Saltzer . Describió la lista como " una lista de todas las formas conocidas en las que un usuario puede romper o eludir los mecanismos de protección de Multics ". [1] Inicialmente, la lista se mantuvo algo privada con la intención de mantener los detalles de la vulnerabilidad hasta que las soluciones pudieran estar disponibles. La lista publicada contenía dos vulnerabilidades de escalada de privilegios locales y tres ataques locales de denegación de servicio. [2]
Tipos de bases de datos de vulnerabilidades
Las principales bases de datos de vulnerabilidades como la base de datos ISS X-Force, la base de datos Symantec / SecurityFocus BID y la base de datos de vulnerabilidad de código abierto (OSVDB) [a] agregan una amplia gama de vulnerabilidades divulgadas públicamente, incluidas las vulnerabilidades y exposiciones comunes (CVE). El propósito principal de CVE, ejecutado por MITRE , es intentar agregar vulnerabilidades públicas y darles un identificador único de formato estandarizado. [3] Muchas bases de datos de vulnerabilidades desarrollan la inteligencia recibida de CVE e investigan más proporcionando puntajes de riesgo de vulnerabilidad, calificaciones de impacto y la solución alternativa necesaria. En el pasado, CVE era fundamental para vincular bases de datos de vulnerabilidades, de modo que los parches críticos y las depuraciones se puedan compartir para evitar que los piratas informáticos accedan a información confidencial en sistemas privados. [4] La Base de Datos Nacional de Vulnerabilidad (NVD), administrada por el Instituto Nacional de Estándares y Tecnología (NIST), se opera por separado de la base de datos CVE administrada por MITRE, pero solo incluye información de vulnerabilidad de CVE. NVD sirve como una mejora de esos datos al proporcionar datos de puntuación de riesgo del Common Vulnerability Scoring System (CVSS) y Common Platform Enumeration (CPE).
La base de datos de vulnerabilidades de código abierto proporciona un índice preciso, técnico e imparcial sobre la seguridad de las vulnerabilidades. La base de datos completa catalogó más de 121.000 vulnerabilidades. El OSVDB se fundó en agosto de 2002 y se lanzó en marzo de 2004. En sus comienzos primitivos, los miembros del sitio investigaron las vulnerabilidades identificadas recientemente y las explicaciones se detallaron en el sitio web. Sin embargo, a medida que la necesidad del servicio prosperaba, la necesidad de personal dedicado resultó en el inicio de Open Security Foundation (OSF), que se fundó como una organización sin fines de lucro en 2005 para proporcionar fondos para proyectos de seguridad y principalmente el OSVDB. [5] El OSVDB cerró en abril de 2016. [6]
La base de datos nacional de vulnerabilidades de EE. UU. Es una base de datos completa de vulnerabilidades de seguridad cibernética formada en 2005 que informa sobre CVE. [7] El NVD es una herramienta de referencia de seguridad cibernética primaria para individuos e industrias que proporciona recursos informativos sobre las vulnerabilidades actuales. El NVD tiene más de 100.000 registros. Similar al OSVDB, el NVD publica calificaciones de impacto y categoriza el material en un índice para proporcionar a los usuarios un sistema de búsqueda inteligible. [8] Otros países tienen sus propias bases de datos de vulnerabilidades, como la Base de Datos Nacional de Vulnerabilidad de China y la Base de Datos de Amenazas de Seguridad de Datos de Rusia .
Varias empresas comerciales también mantienen sus propias bases de datos de vulnerabilidades, ofreciendo a los clientes servicios que entregan datos de vulnerabilidad nuevos y actualizados en formato legible por máquina, así como a través de portales web. Los ejemplos incluyen el portal DeepSight [9] de Symantec y la fuente de datos de vulnerabilidades, el administrador de vulnerabilidades de Secunia (comprado por Flexera) [10] y el servicio de inteligencia de vulnerabilidades de Accenture [11] (anteriormente iDefense).
Las bases de datos de vulnerabilidades aconsejan a las organizaciones que desarrollen, prioricen y ejecuten parches u otras mitigaciones que intenten rectificar las vulnerabilidades críticas. Sin embargo, esto a menudo puede conducir a la creación de susceptibilidades adicionales ya que los parches se crean apresuradamente para frustrar futuras violaciones y explotaciones del sistema. Dependiendo del nivel de un usuario u organización, garantizan el acceso apropiado a una base de datos de vulnerabilidades que proporciona al usuario la revelación de vulnerabilidades conocidas que pueden afectarlos. La justificación para limitar el acceso a las personas es impedir que los piratas informáticos conozcan las vulnerabilidades del sistema corporativo que podrían explotarse aún más. [12]
Uso de bases de datos de vulnerabilidades
Las bases de datos de vulnerabilidades contienen una amplia gama de vulnerabilidades identificadas. Sin embargo, pocas organizaciones poseen la experiencia, el personal y el tiempo para revisar y remediar todas las posibles susceptibilidades del sistema, por lo tanto, la puntuación de vulnerabilidad es un método para determinar cuantitativamente la gravedad de una violación del sistema. Existe una multitud de métodos de puntuación en las bases de datos de vulnerabilidades como US-CERT y la Escala de análisis de vulnerabilidad crítica del Instituto SANS, pero el Sistema de puntuación de vulnerabilidad común (CVSS) es la técnica predominante para la mayoría de las bases de datos de vulnerabilidades, incluidas OSVDB, vFeed [13] y NVD. El CVSS se basa en tres métricas principales: base, temporal y ambiental, cada una de las cuales proporciona una calificación de vulnerabilidad. [14]
Base
Esta métrica cubre las propiedades inmutables de una vulnerabilidad, como el impacto potencial de la exposición de información confidencial, la accesibilidad de la información y las secuelas de la eliminación irrecuperable de información.
Temporal
Las métricas temporales denotan la naturaleza mutable de una vulnerabilidad, por ejemplo, la credibilidad de una explotación, el estado actual de una violación del sistema y el desarrollo de cualquier solución alternativa que pueda aplicarse. [15]
Ambiental
Este aspecto del CVSS califica la pérdida potencial para individuos u organizaciones debido a una vulnerabilidad. Además, detalla el objetivo principal de una vulnerabilidad que va desde sistemas personales hasta grandes organizaciones y el número de personas potencialmente afectadas. [dieciséis]
La complicación de utilizar diferentes sistemas de puntuación es que no hay consenso sobre la gravedad de una vulnerabilidad, por lo que diferentes organizaciones pueden pasar por alto las explotaciones críticas del sistema. El beneficio clave de un sistema de puntuación estandarizado como CVSS es que las puntuaciones de vulnerabilidad publicadas se pueden evaluar, perseguir y remediar rápidamente. Tanto las organizaciones como los individuos pueden determinar el impacto personal de una vulnerabilidad en su sistema. Los beneficios derivados de las bases de datos de vulnerabilidad para los consumidores y las organizaciones son exponenciales a medida que los sistemas de información se integran cada vez más, crece nuestra dependencia y dependencia de ellos, al igual que la oportunidad de explotación de datos. [17]
Vulnerabilidades de seguridad comunes enumeradas en bases de datos de vulnerabilidades
Fallo de implementación inicial
Aunque la funcionalidad de una base de datos puede parecer impecable, sin pruebas rigurosas, las fallas exiguas pueden permitir a los piratas informáticos infiltrarse en la seguridad cibernética de un sistema. Con frecuencia, las bases de datos se publican sin estrictos controles de seguridad, por lo que el material sensible es de fácil acceso. [18]
inyección SQL
Los ataques a bases de datos son la forma más recurrente de violaciones de seguridad cibernética registradas en bases de datos de vulnerabilidades. Las inyecciones de SQL y NoSQL penetran los sistemas de información tradicionales y las plataformas de big data, respectivamente, e interpolan declaraciones maliciosas que permiten a los piratas informáticos el acceso no regulado al sistema. [19]
Bases de datos mal configuradas
Las bases de datos establecidas normalmente no implementan los parches cruciales sugeridos por las bases de datos de vulnerabilidades debido a una carga de trabajo excesiva y la necesidad de realizar pruebas exhaustivas para garantizar que los parches actualicen la vulnerabilidad del sistema defectuoso. Los operadores de bases de datos concentran sus esfuerzos en las principales deficiencias del sistema, lo que ofrece a los piratas informáticos un acceso total al sistema a través de parches desatendidos. [20]
Auditoría inadecuada
Todas las bases de datos requieren pistas de auditoría para registrar cuándo se modifica o se accede a los datos. Cuando los sistemas se crean sin el sistema de auditoría necesario, la explotación de las vulnerabilidades del sistema es un desafío para identificar y resolver. Las bases de datos de vulnerabilidades divulgan la importancia del seguimiento de auditorías como elemento disuasorio de los ciberataques. [21]
La protección de datos es esencial para cualquier negocio, ya que la información personal y financiera es un activo clave y el robo de material sensible puede desacreditar la reputación de una empresa. La implementación de estrategias de protección de datos es imperativa para resguardar la información confidencial. Algunos opinan que es la apatía inicial de los diseñadores de software lo que, a su vez, requiere la existencia de bases de datos de vulnerabilidades. Si los sistemas se diseñaron con mayor diligencia, pueden ser impenetrables de las inyecciones de SQL y NoSQL, lo que hace que las bases de datos de vulnerabilidades sean redundantes. [22]
Notas
- ^ OSVDB se cerró en abril de 2016; un servicio pago VulnDB tomó su lugar
Referencias
- ^ Saltzer, JH "Errores de seguridad reparados en Multics" . www.semanticscholar.org . Consultado el 29 de septiembre de 2020 .
- ^ "ERRORES DE SEGURIDAD REPARADOS EN MULTICOS" (PDF) .
- ^ "Vulnerabilidades y exposiciones comunes (CVE)" . Cve.mitre.org . Consultado el 1 de noviembre de 2015 .
- ^ Yun-Hua, G; Pei, L (2010). "Diseño e investigación sobre bases de datos de vulnerabilidad": 209–212. Cite journal requiere
|journal=
( ayuda ) - ^ Karlsson, M (2012). "El historial de edición de la base de datos nacional de vulnerabilidades y bases de datos de vulnerabilidades similares". Cite journal requiere
|journal=
( ayuda ) - ^ "OSVDB Apagar permanentemente" . Consultado el 25 de enero de 2021 .
- ^ "Explicación de la base de datos nacional de vulnerabilidades" . resources.whitesourcesoftware.com . Consultado el 1 de diciembre de 2020 .
- ^ "Recursos primarios de NVD" . Base de datos nacional de vulnerabilidad . Consultado el 1 de noviembre de 2015 .
- ^ "Inteligencia técnica de DeepSight | Symantec" . www.symantec.com . Consultado el 5 de diciembre de 2018 .
- ^ "Gestor de vulnerabilidades de Secunia" .
- ^ "Accenture Vulnerability Intelligence" (PDF) .
- ^ Erickson, J (2008). Piratería: el arte de la explotación (1ª ed.). San Francisco: No Starch Press. ISBN 1593271441.
- ^ vFeed. "Inteligencia de amenazas y vulnerabilidad correlacionada con vFeed" .
- ^ Primero. "Sistema de puntuación de vulnerabilidad común (CVSS-SIG)" . Consultado el 1 de noviembre de 2015 .
- ^ Mell, P; Romanosky, S (2006). "Sistema de puntuación de vulnerabilidad común". Revista de seguridad y privacidad de IEEE . 4 (6): 85–89.
- ^ Hayden, L (2010). Métricas de seguridad de TI (1ª ed.). Nueva York: McGraw Hill.
- ^ Chandramouli, R; Grance, T; Kuhn, R; Landau, S (2006). "Sistema de puntuación de vulnerabilidad común": 85–88. Cite journal requiere
|journal=
( ayuda ) - ^ "Los riesgos más importantes de 2015 y cómo mitigarlos" (PDF) . Imperva . Consultado el 2 de noviembre de 2015 .
- ^ Natarajan, K; Subramani, S (2012). "Generación de algoritmo seguro sin inyección de SQL para detectar y prevenir ataques de inyección de SQL". Tecnología de procedimientos . 4 : 790–796.
- ^ "Base de datos de vulnerabilidades - Top 1000 defectos". Seguridad de la red . 8 (6). 2001.
- ^ Afyouni, H (2006). Seguridad y auditoría de bases de datos (1ª ed.). Boston: Tecnología del curso Thomson.
- ^ Sirohi, D (2015). Dimensiones transformacionales del delito cibernético . India: Vij Books. págs. 54–65.
Ver también
- Base de datos nacional de vulnerabilidad de China
- Vulnerabilidades y exposiciones comunes
- Base de datos de amenazas a la seguridad de los datos
- Notas de vulnerabilidad de Japón
- Base de datos nacional de vulnerabilidad
- Base de datos de vulnerabilidades de código abierto