ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura

¡Estándares abiertos sobre vulnerabilidades!

Guía de los principales estándares abiertos de vulnerabilidades: CVE, CWE, CPE, CAPEC, OVAL y CVSS, y sus diferencias fundamentales.

La misión del blogdelciso.com es “Educar sobre Seguridad de la información para tod@s”, bajo esa lógica, es necesario que usemos los términos correctos para referirnos sobre todo a tecnicismos, no todo se llama CVE, a continuación les presento los estándares de vulnerabilidades que existen hoy.

  • CVE: Common Vulnerability Enumeration
  • CWE: Common Weakness Enumeration
  • CPE: Common Platform Enumeration
  • CAPEC: Common Attack Pattern Enumeration and Classification
  • OVAL: Open Vulnerability and Assessment Language
  • CVSS: Common Vulnerability Scoring System

Estándares abiertos

CVE: Enumeración de vulnerabilidad común

CVE es una lista de vulnerabilidades y exposiciones de seguridad de la información que tiene como objetivo proporcionar nombres comunes para problemas conocidos públicamente. El objetivo de CVE es facilitar el intercambio de datos entre distintas capacidades de vulnerabilidad (herramientas, repositorios y servicios) con esta “enumeración común”.

CWE: Enumeración de debilidad común

Es un diccionario universal en línea de las debilidades que se han encontrado en los programas informáticos. El diccionario es mantenido por MITRE Corporation y se puede acceder de forma gratuita a nivel mundial.

CPE: Enumeración de la plataforma común

Enumeración de plataforma común (CPE) se especifica un método estructurado para describir e identificar clases de aplicaciones, sistemas operativos y equipos que figuran en los activos informáticos de una empresa. La CPE se define a través de un conjunto de especificaciones en un modelo de pila, donde las capacidades se basan en elementos más simples y definidos con más precisión.

CAPEC: Enumeración y clasificación del patrón de ataque común

El esfuerzo de Enumeración y Clasificación de Patrones de Ataque Común (CAPEC) proporciona un catálogo disponible públicamente de patrones comunes de ataque que ayuda a los usuarios a comprender cómo los adversarios explotan las debilidades en las aplicaciones y otras capacidades habilitadas para el ciberespacio.

Los “Patrones de ataque” son descripciones de los atributos y enfoques comunes empleados por los adversarios para explotar las debilidades conocidas. Se derivan del concepto de patrones de diseño aplicados en un contexto destructivo y se generan a partir del análisis en profundidad de ejemplos específicos de exploits del mundo real.

OVAL: Open Vulnerability and Assessment Language

Es una norma internacional de seguridad de la información para la comunidad que promueve contenidos de seguridad abiertos y disponibles al público, y para estandarizar la transferencia de esta información a través de todo el espectro de herramientas y servicios de seguridad.

CVSS: Sistema común de puntuación de vulnerabilidad

El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona una forma de capturar las características principales de una vulnerabilidad y producir una puntuación numérica que refleje su gravedad. El puntaje numérico puede traducirse en una representación cualitativa (como baja, media, alta y crítica) para ayudar a las organizaciones a evaluar y priorizar adecuadamente sus procesos de gestión de vulnerabilidades.

¿Llamabas a todo CVE?

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo