Skip to main content

Zer da CVE bat eta zer CNA erakunde daude Espainian?

Atarikoa

Ahultasun eta esposizio ohikoek edo CVEek (Common Vulnerabilities and Exposures) segurtasun-ahultasunen zerrenda publikoari egiten diote erreferentzia. CVE bakoitzak identifikatzaile bakarra dauka esleituta, eta CVE-URTEA-ID nomenklaturari jarraitzen dio. 

CVEek produktuen eta sistemen segurtasun-akatsak ezagutzen laguntzen dute, bai eta akats horiek aritzeko eta konpontzeko balizko moduak ere, eta lagungarriak dira, orobat, beharrezko eguneratzeen jarraipena eta plangintza egiteko edo arriskuen azterketa sortzeko, CVEaren kritikotasunean eta beste hainbat faktoretan oinarrituta.

MITREk sortu zuen CVEen zerrenda 1999an, eta erakunde berak mantentzen du gaur egun. Zerrenda horrek elikatzen du, era berean, Estatu Batuetako ahultasunen datu-basea (NVD, National Vulnerability Database).

CVEen formatua

Argitaratutako CVE bakoitzak honako elementu hauek ditu:

  • Identifikazio-zenbakia
  • Ahultasunaren deskribapena
  • Erreferentziak

CVEen formatuak CVE-YYYY-ID nomenklaturari jarraitzen dio. Bertan, YYYYk ahultasunaren argitalpen-urtea adierazten du; ID, berriz, 4 digituko edo gehiagoko identifikatzaile bakarra da.

Ahultasunaren deskribapenaren barruan, azalpen txiki bat dago, zer produktu eta bertsiori eragiten dien, eta zer inpaktu izan dezakeen konfidentzialtasunean, integritatean eta erabilgarritasunean.

 Segurtasun-buletinak edo aurkitutako edo konpondutako ahultasun berriak iragartzen dituzten fabrikatzaileen txostenak ere izaten dituzte.

CVE bakoitzak honako egoera hauek izan ditzake:

  • RESERVED; CVE hori ahultasun bati esleitu zaionean, baina oraindik ere ez dituztenean jakinarazi haren xehetasunak. Gainerako informazioa argitaratu ondoren, deskribapena gehitzen zaio CVEari, kendu egiten zaio RESERVED egoera MITREren zerrendan, eta NVDan gehitzen da (U.S. National Vulnerability Database). MITREren zerrendak ez du aurreikusten “argitaratuta” egoerarik, izan ere, ziurtzat ematen da CVEren deskribapena eta informazioa osatuta daudenean.
  • DISPUTED egoera esleitzen da bi erakunde ez badaude ados jakinarazitako arazoa ahultasuna ote den ala ez zehazterakoan. Egoera horretan, ikerketa gehiago biltzen dira arazoari buruz, arrazoia erakunde bakar bati eman beharrean.
  • REJECT egoera ezartzen da, CVE bat onartzen ez dutenean. Adibidez, CVEa errepikatuta dagoenean, arazo administratiboren bat denean edo jatorrizko egileak eskatzen duenean. Arrazoi hori deskribapenean eman ohi da. Halaber, egoera hori RESERVED egoerara aldatzea kasu zehatz jakin batzuetan, hala nola CVEa publikoki erabili denean.  

Hurrengo irudian, goian deskribatutako egoera-motak dituzten CVEen adibideak erantsi dira.

Formato de los CVE

Nola erregistratzen dira CVEak?

Ahultasun berri bat aurkitzen bada, posible da CVE ID berri bat eskatzea. Lehenik eta behin, arazo horren domeinua identifikatu behar da, MITREren orrialde ofizialean eskuragarri dagoen CNA zerrendan kontsultatuz.  Zerrenda horren barruan, ahultasuna jakinarazteko CNArekin harremanetan jartzeko metodoa zehazten da. Azkenik, CNA hori arduratuko da CVE ID berria esleitzeko behar den prozesua egiteaz.

Ez baldin badago bilduta CNAen zerrendan jasotako aplikazio-eremuetako batean ere, azken baliabideko CNA batekin jarri beharko da harremanetan (CNA-LR).

Edozein ahultasunetarako CVEa eska daitekeen arren, horiek esleitzeko, MITREren tauletan zerrendatutako saltzaileen, produktuen eta kategorien ahultasunak lehenesten dira.

Zer da CNA bat?

CNAk (CVE Numbering Authorities) produktuen segurtasun-ahultasunetarako CVE berriak esleitzeko egiaztatuta dauden erakundeak dira. CVE berri baten esleipena eskatzeko, dagokion CNAra jo behar da, dagokion aplikazio-eremura egokituta. 

CNA erakundeen barruan, hainbat rol daude:

  • CNA: ahultasunak esleitzeko eremu zehatz bat duten erakundeak. MITREk argitaratutako CNA parte-hartzaileen zerrendan CNA bakoitzaren aplikazio-eremuaren deskribapena ematen da.
  • CNA-LR (azken baliabideko CNA): gainerako CNA erakundeek barnean hartzen ez dituzten aplikazio-eremu guztiak betetzen dituzten eta CVE berriak esleitzeko baimenduta dauden erakundeak dira.
  • Root edo erroa: eremu jakin bateko CNAk prestatzeaz, biltzeaz eta kudeatzeaz arduratzen den erakundea.
  • Top-Level Root edo goi-mailako erroa: CVE Boardaren aurrean erantzuten duen goi mailako erakundea, zeinak zibersegurtasunaren alorreko hainbat erakunde biltzen baititu.

Hurrengo irudian, CNA garrantzitsuenak dituzten taulak ageri dira (Root eta Top-Level Toot).

¿Qué es un CNA?

CNA moten artean, Bug Bounties antolatzaileak, CERTak, saltzaileak eta fabrikatzaile edo ikertzaileak ageri dira, bai partikularrak, bai hainbat erakundetakoak.

CNAen programan parte hartzea borondatezkoa da, eta aukera ematen dio erakundeari dagoeneko esleituta dauden CVEak argitaratzeko, ahultasunari buruzko informazioa argitara emateko eskubidea gordetzeko edo eskatzen diren CVE berriak esleitzeko eta jakinarazteko abantaila izateko.

Espainiako CNA erakundeak

CNA programak, gaur egun, CNA gisa egiaztatutako 181 erakunde ditu, 31 herrialdetan banatuta. Erakunde horiek, aplikazio-eremuarekin batera, MITREk argitaraturiko CNA parte-hartzaileen zerrendan daude jasota. Espainian, ahultasunak esleitzeko eta argitaratzeko 2 CNA erakunde daude egiaztatuta.

Zibersegurtasuneko Institutu Nazionala (INCIBE) da, 2020ko urtarriletik, Espainian CNA gisa egiaztaturiko lehen erakundea. Erakunde horren eskumen-eremuan daude hainbat tokitako ahultasunak, hala nola kontrol industrialeko sistemenak, informazioaren teknologienak, Gauzen Internetenak (IoT) nazio-mailako ahultasunak, bai eta beste CNA batzuen eremukoak ez diren Espainiako erakundeen ahultasunak ere.

INCIBEk onartzen dituen zaurgarritasunen artean, Zero Day ahultasunak ageri dira, edo eragiten dioten fabrikatzaileak ezagutzen ez dituen ahultasun berriak. Ez dira onartzen CVE bat esleituta daukaten eta fabrikatzaileek argitaratu dituzten ahultasunak. INCIBEk ahultasun berri baten berri emateko informazio zehatza ematen du, dagokion CVEa esleitu ahal izateko.

Era berean, 2021eko ekainaren 17an, INCIBEk Root rola hartu zuen, eremu bereko beste CNA batzuen sorrera antolatzeko eta erakartzeko. Entitatearen beste eginkizun bat da ziurtatzea bere koordinaziopean dauden CNAek egokiro esleitzen dituztela CVEak, eta haren arduren artean daude, orobat, erakunde horien parte-hartze aktiboa bermatzea, gatazkak konpontzea eta CNA berriak borondatezko programan sartzea. Horretaz gainera, erakunde berriak sartzea sustatzen du.

CNA gisa jarduten duen Espainiako bigarren erakundea Alias Robotics SL da, eta haren eskumenaren pean daude hirugarrenen roboten eta haien osagaien ahultasunak, hala hardwarea nola softwarea.

Erreferentziak

https://cve.mitre.org/cve/request_id.html

https://cve.mitre.org/about/faqs.html

https://www.incibe.es/asignacion-publicacion-cve