Cuando se habla de la Base de Datos Nacional de Vulnerabilidades (NVD), se hace referencia al repositorio oficial del gobierno de Estados Unidos que consolida y enriquece los datos sobre vulnerabilidades de seguridad divulgadas públicamente. La NVD, operada por el Instituto Nacional de Estándares y Tecnología (NIST), es el núcleo de un catálogo estandarizado y enriquecido de vulnerabilidades que otras herramientas y procesos pueden consumir automáticamente.
Orígenes y Evolución de la NVD
La NVD se estableció en el año 2005 por el gobierno de los Estados Unidos. Inicialmente, se creó en el año 2000 y se denominó
Funcionalidades y Datos de la NVD
La NVD no publica vulnerabilidades directamente, sino que analiza las Vulnerabilidades y Exposiciones Comunes (CVE) de la lista mantenida por MITRE. Este análisis consiste en la puntuación CVSS, enlaces a parches disponibles, información sobre cómo funciona la vulnerabilidad y su calificación de impacto.
Los datos que residen dentro de la NVD incluyen bases de datos de listas de verificación de seguridad, fallos de software relacionados con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. La base de datos expone feeds JSON y API para que las herramientas puedan sincronizar datos de vulnerabilidad, puntajes y comentarios de proveedores automáticamente. La NVD apoya el
La NVD ofrece análisis sobre las CVE y realiza las siguientes tareas:
- Asigna una puntuación CVSS (Common Vulnerability Scoring System) a cada vulnerabilidad.
- Determina los tipos de vulnerabilidad - Enumeraciones de Debilidades Comunes (CWE).
- Define las declaraciones de aplicabilidad - Enumeración Común de Plataformas (CPE).
- Proporciona otros datos relacionados con la funcionalidad y la explotabilidad de la vulnerabilidad, es decir, cómo los ciberdelincuentes pueden explotarla.
Esta información puede ser utilizada por las organizaciones para priorizar las vulnerabilidades y los parches que deben desplegar para mantener segura su infraestructura informática.
Sistema Común de Puntuación de Vulnerabilidades (CVSS)
El Sistema Común de Puntuación de Vulnerabilidades (CVSS) es un conjunto abierto de normas utilizadas para evaluar una vulnerabilidad y asignarle una gravedad en una escala de 0 a 10. La NVD proporciona "puntuaciones base" CVSS que representan las características innatas de cada vulnerabilidad. Las puntuaciones de gravedad según las especificaciones CVSS v3.0 son:
| Gravedad | Puntuación de Base |
|---|---|
| Ninguno | 0.0 |
| Bajo | 0.1 - 3.9 |
| Medio | 4.0 - 6.9 |
| Alto | 7.0 - 8.9 |
| Crítica | 9.0 - 10.0 |
Vulnerabilidades y Exposiciones Comunes (CVE)
Common Vulnerabilities and Exposures (CVE) es una convención estándar para informar sobre vulnerabilidades de seguridad conocidas públicamente. Creada en 1999 por MITRE, una organización de investigación financiada por el gobierno, la CVE cataloga las amenazas de seguridad. El sistema fue establecido en septiembre de 1999. Una de las listas de vulnerabilidades más populares es CVE por MITRE.
¿Para qué sirve la CVE?
El objetivo principal del CVE es estandarizar la forma en que se identifica una vulnerabilidad o un riesgo de seguridad, mediante un número de identificación, una descripción y al menos una referencia pública. El uso del CVE es gratuito y está a disposición del público. Un ejemplo de identificador CVE es CVE-2020-16891, que incluye el prefijo «CVE», el año en que se asignó el identificador CVE o el año en que se hizo pública la vulnerabilidad, y los dígitos del número de secuencia.
La descripción del CVE incluye detalles como el nombre del producto afectado y el proveedor, un resumen de las versiones afectadas, el tipo de vulnerabilidad, el impacto, el acceso que necesita un atacante para explotar la vulnerabilidad y los componentes de código o entradas importantes que están implicados. La referencia CVE incluye los informes de vulnerabilidad, avisos o fuentes que detallan la vulnerabilidad y la explotación que podría producirse.
Diferencia entre NVD y CVE
Aunque a menudo se habla de estas dos listas o bases de datos como si fueran lo mismo, en realidad se trata de entidades independientes, aunque interconectadas. CVE es, en esencia, una lista de entradas de vulnerabilidades, mientras que NVD es una base de datos más completa que se basa en la lista CVE y está totalmente sincronizada con ella. Cualquier actualización que se realice en la lista CVE aparece en NVD, que también añade el componente de análisis para cada vulnerabilidad. Según MITRE, la lista CVE alimenta la NVD. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras del Departamento de Seguridad Nacional de EE. UU. (DHS CISA) patrocina ambas.
Otras Bases de Datos de Vulnerabilidades y Fuentes de Información
Además de la NVD y CVE, existen otras bases de datos y fuentes de información importantes sobre vulnerabilidades:
OSVDB y VulnDB
La OSVDB (Open Source Vulnerability Database) fue creada en 2004 por Jake Kouns. Su objetivo era proporcionar información detallada sobre las vulnerabilidades de seguridad para uso no comercial. Sin embargo, fue cerrada en abril de 2016 debido a un uso comercial no autorizado. En 2011, Risk Based Security inició una versión comercial llamada VulnDB, que contiene más de 140.000 entradas con información sobre vendedores afectados, tipo de vulnerabilidad, clasificación e información de ID.
Boletines de Seguridad
Junto con las bases de datos de vulnerabilidades, los boletines de seguridad son una fuente que ayuda a conocer vulnerabilidades de seguridad, estrategias de mitigación y actualizaciones de software. Algunas empresas de TI, como IBM y Microsoft, tienen sus propios boletines. Debido a la información sensible que contienen, no suelen incluir detalles exhaustivos sobre la explotación de vulnerabilidades, sino que informan a los clientes sobre estas y las posibles soluciones.
CIS Benchmarks
También existen agencias y servicios que brindan información sobre vulnerabilidades, como los CIS Benchmarks desarrollados a través de esfuerzos voluntarios de expertos en TI, vendedores y desarrolladores.
El Proceso de Recopilación y Gestión de Vulnerabilidades
Las bases de datos de vulnerabilidades son herramientas que permiten acceder a información sobre vulnerabilidades conocidas. Expertos recopilan, verifican y comparten información con una gran comunidad para mejorar el conocimiento en ciberseguridad. El primer paso en la recopilación de vulnerabilidades es informarlas, lo cual puede provenir de diferentes fuentes, desde desarrolladores hasta usuarios.
Existe un período de espera para cada vulnerabilidad que se informa, que dura de 30 a 90 días antes de que la información se haga pública. Este período es necesario para que los desarrolladores creen y lancen parches, y para que los clientes configuren estos parches para protegerse antes de la notificación pública. La duración de este período depende de las políticas de notificación y los productos.
Escáneres de Vulnerabilidades
Las bases de datos de vulnerabilidades son el fundamento de los escáneres de vulnerabilidades. Un escáner de vulnerabilidades es una herramienta de prueba automatizada que busca vulnerabilidades y fallos en el sistema. Los escáneres son completamente automatizados y solo buscan vulnerabilidades e informan posibles exposiciones. Después de eso, se realiza una prueba de penetración. Las bases de datos cubren una variedad de vulnerabilidades y se diferencian entre sí según su propósito.
NVD en DevSecOps y Seguridad de la Cadena de Suministro
Los equipos de DevSecOps se preocupan por la NVD porque herramientas como los escáneres SCA (Análisis de Composición de Software), escáneres de contenedores, escáneres de paquetes de SO y escáneres de infraestructura, entre muchos otros, la utilizan. Es por ello que las preguntas sobre la Base de Datos Nacional de Vulnerabilidades son en realidad preguntas sobre "de dónde provienen nuestros hallazgos de vulnerabilidades y si podemos confiar en ellos".
Retrasos y Desafíos
Mucha gente asume que la NVD siempre está actualizada para cada CVE. Sin embargo, la NVD realiza un paso de enriquecimiento: toma registros CVE básicos y añade puntuación, mapeos de productos y otros metadatos. Este trabajo adicional requiere tiempo y, especialmente desde 2024, ha generado retrasos bien documentados en el análisis completo de nuevas vulnerabilidades. Para los equipos de DevSecOps, esto significa que algunos de los CVE que ven en sus herramientas pueden aparecer rápidamente con datos parciales o tardar en aparecer con contexto completo.
Otro malentendido común sobre la NVD es pensar que es un escáner activo que analiza el entorno. No es así. La Base de Datos Nacional de Vulnerabilidades (NVD) es un conjunto de datos de referencia, no un motor de detección. Sus escáneres, herramientas SCA y agentes realizan el descubrimiento. Esto es especialmente peligroso en la seguridad de la cadena de suministro de software, ya que no todos los riesgos se manifiestan como CVE, ni todas las vulnerabilidades se enriquecen completamente en NVD de forma oportuna.
Uso Eficaz de la NVD en DevSecOps
Para utilizar eficazmente la NVD en DevSecOps, si se está ejecutando un sistema moderno, las herramientas consumen la NVD automáticamente. Sin embargo, es importante diseñar el programa con una visión realista de qué es la Base de Datos Nacional de Vulnerabilidades y dónde encaja. Se recomienda asignar datos NVD a SBOMs (Listas de Materiales de Software) y gráficos de dependencia para la seguridad de la cadena de suministro, conectándolos a las entradas de la NVD. Es crucial reconocer los límites, especialmente para los paquetes maliciosos, ya que las bases de datos centradas en CVE se enfocan en las vulnerabilidades reveladas, no necesariamente en paquetes maliciosos o componentes con puertas traseras en registros públicos.
Si se basa la gestión de vulnerabilidades en la Base de Datos NVD, se debe usar para normalización, puntuación y cobertura, y ampliarla con avisos de proveedores, datos de exploits y otras fuentes.
El Paisaje de las Ciberamenazas y la NVD
El panorama de las ciberamenazas se amplía con la evolución de la tecnología y el número de vulnerabilidades de software que se notifican aumenta cada año. Por ejemplo, mientras que en 2016 se identificaron 6.447 vulnerabilidades, en 2019 el número se duplicó hasta alcanzar las 12.174.
Los ciberataques pueden orquestarse utilizando la información de las bases de datos CVE y NVD. Por lo tanto, es importante parchear a tiempo las vulnerabilidades que afectan a sus sistemas para mantener a salvo sus sistemas informáticos y sus datos. La gravedad de la vulnerabilidad ayuda a decidir cómo priorizar el despliegue de parches en su entorno. Herramientas como Kaseya VSA automatizan la gestión de parches de software para corregir vulnerabilidades y mantener el software actualizado.