Base de datos de vulnerabilidad

Vulnerabilidades de seguridad informática

Una base de datos de vulnerabilidades (VDB) es una plataforma destinada a recopilar, mantener y difundir información sobre vulnerabilidades de seguridad informática descubiertas . La base de datos habitualmente describirá la vulnerabilidad identificada, evaluará el impacto potencial en los sistemas afectados y cualquier solución alternativa o actualización para mitigar el problema. Una VDB asignará un identificador único a cada vulnerabilidad catalogada, como un número (por ejemplo, 123456) o una designación alfanumérica (por ejemplo, VDB-2020-12345). La información de la base de datos puede estar disponible a través de páginas web, exportaciones o API . Un VDB puede proporcionar la información de forma gratuita, paga o una combinación de ambas.

Historia

La primera base de datos de vulnerabilidades fue "Errores de seguridad reparados en Multics", publicada el 7 de febrero de 1973 por Jerome H. Saltzer. Describió la lista como " una lista de todas las formas conocidas en las que un usuario puede romper o eludir los mecanismos de protección de Multics ". ^[1] Inicialmente, la lista se mantuvo algo privada con la intención de mantener los detalles de la vulnerabilidad hasta que las soluciones estuvieran disponibles. La lista publicada contenía dos vulnerabilidades de escalada de privilegios locales y tres ataques locales de denegación de servicio. ^[2]

Tipos de bases de datos de vulnerabilidad

Las principales bases de datos de vulnerabilidades, como la base de datos ISS X-Force, la base de datos Symantec/SecurityFocus BID y la base de datos de vulnerabilidades de código abierto (OSVDB) ^[a] agregan una amplia gama de vulnerabilidades divulgadas públicamente, incluidas vulnerabilidades y exposiciones comunes (CVE). El objetivo principal de CVE, administrado por MITRE , es intentar agregar vulnerabilidades públicas y darles un identificador único de formato estandarizado. ^[3] Muchas bases de datos de vulnerabilidades desarrollan la inteligencia recibida de CVE e investigan más a fondo proporcionando puntuaciones de riesgo de vulnerabilidad, calificaciones de impacto y la solución alternativa necesaria. En el pasado, CVE era fundamental para vincular bases de datos de vulnerabilidades, de modo que se pudieran compartir parches y depuraciones críticas para impedir que los piratas informáticos accedieran a información confidencial en sistemas privados. ^[4] La Base de datos nacional de vulnerabilidad (NVD), administrada por el Instituto Nacional de Estándares y Tecnología (NIST), se opera por separado de la base de datos CVE administrada por MITRE, pero solo incluye información de vulnerabilidad de CVE. NVD sirve como una mejora de esos datos al proporcionar puntuación de riesgo del Sistema de puntuación de vulnerabilidad común (CVSS) y datos de Enumeración de plataforma común (CPE).

La base de datos de vulnerabilidades de código abierto proporciona un índice preciso, técnico e imparcial sobre la seguridad de las vulnerabilidades. La base de datos completa catalogó más de 121.000 vulnerabilidades. OSVDB se fundó en agosto de 2002 y se lanzó en marzo de 2004. En sus inicios primitivos, los miembros del sitio investigaron las vulnerabilidades recientemente identificadas y se detallaron explicaciones en el sitio web. Sin embargo, a medida que crecía la necesidad del servicio, la necesidad de personal dedicado dio lugar a la creación de la Open Security Foundation (OSF), que se fundó como una organización sin fines de lucro en 2005 para proporcionar financiación para proyectos de seguridad y principalmente para OSVDB. ^[5] La OSVDB cerró en abril de 2016. ^[6]

La Base de datos nacional de vulnerabilidad de EE. UU. es una base de datos integral de vulnerabilidades de seguridad cibernética formada en 2005 que informa sobre CVE. ^[7] El NVD es una herramienta principal de referencia de seguridad cibernética para individuos e industrias que proporciona recursos informativos sobre las vulnerabilidades actuales. El NVD posee más de 100.000 registros. Al igual que OSVDB, NVD publica calificaciones de impacto y clasifica el material en un índice para proporcionar a los usuarios un sistema de búsqueda inteligible. ^[8] Otros países tienen sus propias bases de datos de vulnerabilidad, como la Base de datos nacional de vulnerabilidad de China y la Base de datos de amenazas a la seguridad de datos de Rusia .

Una variedad de empresas comerciales también mantienen sus propias bases de datos de vulnerabilidades, ofreciendo a los clientes servicios que entregan datos de vulnerabilidades nuevos y actualizados en formato legible por máquina, así como a través de portales web. Los ejemplos incluyen Exploit Observer de ARP Syndicate, el portal DeepSight ^[9] de Symantec y el feed de datos de vulnerabilidades, el administrador de vulnerabilidades de Secunia (comprado por Flexera) ^[10] y el servicio de inteligencia de vulnerabilidades de Accenture ^[11] (anteriormente iDefense).

Exploit Observer ^[12] utiliza su sistema de agregación de datos de vulnerabilidades y vulnerabilidades (VEDAS) para recopilar vulnerabilidades y vulnerabilidades de una amplia gama de fuentes globales, incluidas bases de datos chinas y rusas. ^[13]

Las bases de datos de vulnerabilidades aconsejan a las organizaciones desarrollar, priorizar y ejecutar parches u otras mitigaciones que intenten rectificar vulnerabilidades críticas. Sin embargo, esto a menudo puede conducir a la creación de susceptibilidades adicionales a medida que se crean parches apresuradamente para frustrar futuras explotaciones y violaciones del sistema. Dependiendo del nivel de un usuario u organización, garantizan el acceso adecuado a una base de datos de vulnerabilidades que proporciona al usuario información sobre vulnerabilidades conocidas que pueden afectarlo. La justificación para limitar el acceso a individuos es impedir que los piratas informáticos conozcan las vulnerabilidades de los sistemas corporativos que podrían explotarse aún más. ^[14]

Uso de bases de datos de vulnerabilidades.

Las bases de datos de vulnerabilidades contienen una amplia gama de vulnerabilidades identificadas. Sin embargo, pocas organizaciones poseen la experiencia, el personal y el tiempo para revisar y remediar todas las posibles susceptibilidades del sistema, por lo que la puntuación de vulnerabilidad es un método para determinar cuantitativamente la gravedad de una violación del sistema. Existe una multitud de métodos de puntuación en las bases de datos de vulnerabilidades, como US-CERT y la Escala de análisis de vulnerabilidad crítica del Instituto SANS, pero el Sistema de puntuación de vulnerabilidad común (CVSS) es la técnica predominante para la mayoría de las bases de datos de vulnerabilidades, incluidas OSVDB, vFeed ^[15] y NVD. El CVSS se basa en tres métricas principales: básica, temporal y ambiental, cada una de las cuales proporciona una calificación de vulnerabilidad. ^[dieciséis]

Base

Esta métrica cubre las propiedades inmutables de una vulnerabilidad, como el impacto potencial de la exposición de información confidencial, la accesibilidad de la información y las consecuencias de la eliminación irrecuperable de la información.

Temporal

Las métricas temporales denotan la naturaleza mutable de una vulnerabilidad, por ejemplo, la credibilidad de una explotabilidad, el estado actual de una violación del sistema y el desarrollo de soluciones alternativas que podrían aplicarse. ^[17]

Ambiental

Este aspecto del CVSS clasifica la pérdida potencial para individuos u organizaciones debido a una vulnerabilidad. Además, detalla el objetivo principal de una vulnerabilidad que va desde sistemas personales hasta grandes organizaciones y la cantidad de personas potencialmente afectadas. ^[18]

La complicación de utilizar diferentes sistemas de puntuación es que no hay consenso sobre la gravedad de una vulnerabilidad, por lo que diferentes organizaciones pueden pasar por alto explotaciones críticas del sistema. El beneficio clave de un sistema de puntuación estandarizado como CVSS es que las puntuaciones de vulnerabilidad publicadas se pueden evaluar, buscar y remediar rápidamente. Tanto las organizaciones como los individuos pueden determinar el impacto personal de una vulnerabilidad en su sistema. Los beneficios derivados de las bases de datos de vulnerabilidades para los consumidores y las organizaciones son exponenciales a medida que los sistemas de información se vuelven cada vez más integrados, nuestra dependencia de ellos crece, al igual que la oportunidad de explotación de datos. ^[19]

Vulnerabilidades de seguridad comunes enumeradas en bases de datos de vulnerabilidades

Error de implementación inicial

Aunque la funcionalidad de una base de datos puede parecer impecable, sin pruebas rigurosas, las exiguas fallas pueden permitir que los piratas informáticos se infiltren en la seguridad cibernética de un sistema. Con frecuencia, las bases de datos se publican sin controles de seguridad estrictos, por lo que se puede acceder fácilmente al material confidencial. ^[20]

inyección SQL

Los ataques a bases de datos son la forma más recurrente de violaciones de seguridad cibernética registradas en bases de datos de vulnerabilidades. Las inyecciones de SQL y NoSQL penetran en los sistemas de información tradicionales y en las plataformas de big data, respectivamente, e interpolan declaraciones maliciosas que permiten a los piratas informáticos acceder al sistema sin regulación. ^[21]

Bases de datos mal configuradas

Las bases de datos establecidas normalmente no implementan los parches cruciales sugeridos por las bases de datos de vulnerabilidades debido a una carga de trabajo excesiva y a la necesidad de realizar pruebas exhaustivas para garantizar que los parches actualicen la vulnerabilidad del sistema defectuoso. Los operadores de bases de datos concentran sus esfuerzos en las principales deficiencias del sistema, lo que ofrece a los piratas informáticos un acceso total al sistema a través de parches descuidados. ^[22]

Auditoría inadecuada

Todas las bases de datos requieren seguimientos de auditoría para registrar cuándo se modifican o se accede a los datos. Cuando los sistemas se crean sin el sistema de auditoría necesario, la explotación de las vulnerabilidades del sistema es un desafío para identificar y resolver. Las bases de datos de vulnerabilidades promulgan la importancia del seguimiento de auditorías como elemento disuasivo de los ciberataques. ^[23]

La protección de datos es esencial para cualquier negocio, ya que la información personal y financiera es un activo clave y el robo de material confidencial puede desacreditar la reputación de una empresa. La implementación de estrategias de protección de datos es imperativa para resguardar la información confidencial. Algunos sostienen que es la apatía inicial de los diseñadores de software lo que a su vez hace necesaria la existencia de bases de datos de vulnerabilidades. Si los sistemas se diseñaran con mayor diligencia, podrían resultar impenetrables ante las inyecciones de SQL y NoSQL, lo que haría que las bases de datos de vulnerabilidades fueran redundantes. ^[24]

Ver también

• Vulnerabilidades y exposiciones comunes
• Notas de vulnerabilidad de Japón
• Base de datos nacional de vulnerabilidad
• Base de datos de vulnerabilidades de código abierto

Notas

1. OSVDB se cerró en abril de 2016; un servicio pago VulnDB tomó su lugar

Referencias

1. Saltzer, JH (7 de febrero de 1973). "Errores de seguridad reparados en Multics" (PDF) . Instituto de Tecnología de Massachusetts . S2CID  15487834. Archivado (PDF) desde el original el 26 de febrero de 2024 . Consultado el 21 de mayo de 2024 .
2. "ERRORES DE SEGURIDAD REPARADOS EN MULTICS" (PDF) . Archivado (PDF) desde el original el 26 de febrero de 2024 . Consultado el 21 de mayo de 2024 .
3. "Vulnerabilidades y exposiciones comunes (CVE)". Cve.mitre.org . Archivado desde el original el 20 de agosto de 2011 . Consultado el 1 de noviembre de 2015 .
4. Yun-Hua, Gu; Pei, Li (2010). "Diseño e Investigación sobre Base de Datos de Vulnerabilidades". 2010 Tercer Congreso Internacional de Información y Computación . págs. 209-212. doi :10.1109/ICIC.2010.147. ISBN 978-1-4244-7081-5. S2CID  13308368.
5. Karlsson, Mathías (2012). El historial de edición de la base de datos nacional de vulnerabilidades y bases de datos de vulnerabilidad similares (PDF) (Tesis). Archivado (PDF) desde el original el 14 de noviembre de 2022 . Consultado el 21 de mayo de 2024 .
6. "OSVDB se apaga permanentemente". 7 de abril de 2016. Archivado desde el original el 28 de enero de 2021 . Consultado el 25 de enero de 2021 .
7. "Explicación de la base de datos nacional de vulnerabilidad". recursos.whitesourcesoftware.com . Archivado desde el original el 21 de mayo de 2024 . Consultado el 1 de diciembre de 2020 .
8. "Recursos primarios de NVD". Base de datos nacional de vulnerabilidad . Archivado desde el original el 6 de abril de 2018 . Consultado el 1 de noviembre de 2015 .
9. "Inteligencia técnica de DeepSight | Symantec". Symantec . Archivado desde el original el 24 de noviembre de 2018 . Consultado el 5 de diciembre de 2018 .
10. "Gestor de vulnerabilidades de Secunia". Archivado desde el original el 6 de diciembre de 2018 . Consultado el 5 de diciembre de 2018 .
11. "Inteligencia sobre vulnerabilidades de Accenture" (PDF) . Archivado (PDF) desde el original el 6 de diciembre de 2018 . Consultado el 5 de diciembre de 2018 .
12. "Inteligencia sobre vulnerabilidades y exploits de ARP Syndicate". Explotar observador . Consultado el 31 de mayo de 2024 .
13. Singh, Ayush (18 de mayo de 2024). "Alrededor de 1000 vulnerabilidades de ciberseguridad explotables que MITRE y NIST 'podrían' haber pasado por alto, pero China o Rusia no". Blog del sindicato ARP . Consultado el 31 de mayo de 2024 .
14. Erickson, J (2008). Hacking: el arte de la explotación (1ª ed.). San Francisco: No Starch Press. ISBN 978-1-59327-144-2.
15. vFeed. "Inteligencia sobre amenazas y vulnerabilidades correlacionadas con vFeed". Archivado desde el original el 27 de octubre de 2016 . Consultado el 27 de octubre de 2016 .
16. Primero. "Sistema de puntuación de vulnerabilidad común (CVSS-SIG)". Archivado desde el original el 8 de marzo de 2022 . Consultado el 1 de noviembre de 2015 .
17. Mel, Peter; Bufanda, Karen; Romanosky, Sasha (noviembre de 2006). "Sistema de puntuación de vulnerabilidad común". Privacidad de seguridad IEEE . 4 (6): 85–89. doi :10.1109/MSP.2006.145. S2CID  14690291.
18. Hayden, L (2010). Métricas de seguridad de TI (1ª ed.). Nueva York: McGraw Hill.
19. Peter Mell; Karen Scarone; Sasha Romanosky (noviembre-diciembre de 2006). "Sistema de puntuación de vulnerabilidad común" (PDF) . Seguridad y privacidad de IEEE . vol. 4, núm. 6. págs. 85–88. doi :10.1109/MSP.2006.145. Archivado (PDF) desde el original el 25 de febrero de 2024 . Consultado el 21 de mayo de 2024 a través del Foro de equipos de seguridad y respuesta a incidentes.
20. "Los riesgos más importantes de 2015 y cómo mitigarlos" (PDF) . Imperva . Archivado (PDF) desde el original el 30 de septiembre de 2015 . Consultado el 2 de noviembre de 2015 .
21. Natarajan, Kanchana; Subramani, Sarala (2012). "Generación de algoritmo seguro gratuito de inyección Sql para detectar y prevenir ataques de inyección Sql". Tecnología Procedia . 4 : 790–796. doi : 10.1016/j.protcy.2012.05.129 .
22. "Base de datos de vulnerabilidades: 1000 defectos principales". Seguridad de la red . 8 (6). 2001.
23. Afyouni, H (2006). Seguridad y auditoría de bases de datos (1ª ed.). Boston: Tecnología del curso Thomson.
24. Sirohi, D (2015). Dimensiones transformadoras del delito cibernético . India: Libros Vij. págs. 54–65.