Inicio / Para Expertos / Las 7 principales fuentes de bases de datos de vulnerabilidades para rastrear nuevas vulnerabilidades

Las 7 principales fuentes de bases de datos de vulnerabilidades para rastrear nuevas vulnerabilidades

Una vulnerabilidad se definide como una debilidad que permite que un atacante entre a uns sistema sin autorización y realice algun daño, la misma puede ser una falla en el diseño o una configuración incorrecta.

Para explotar una vulnerabilidad, el atacante debe tener una herramienta o técnica aplicable que se conecte a esa debilidad del sistema.

Las siguientes son las principales fuentes para rastrear nuevas vulnerabilidades.

  • Base de datos Nacional de vulnerabilidades
  • Vulnerabilidades y exposiciones comunes
  • VulnDB – Inteligencia de vulnerabilidad
  • Base de datos DISA IAVA y STIGS
  • Lenguaje abierto de vulnerabilidad y evaluación
  • Consejo Nacional de ISAC
  • SecurityTracker

Base de datos Nacional de vulnerabilidades

Sources to trace New Vulnerabilities

NVD es el repositorio del gobierno de los Estados Unidos de datos de gestión de vulnerabilidades basados ​​en estándares representados mediante el Protocolo de automatización de contenido de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto.

Contiene:

  • 79680 Vulnerabilidades CVE
  • 376 listas de verificación
  • 249 alertas US-CERT
  • 4458 Notas Vuln US-CERT
  • 10286 consultas OVAL
  • 115232 Nombres CPE

Vulnerabilidades y exposiciones comunes

cve

De alcance internacional y gratuito para uso público, CVE es un diccionario de vulnerabilidades y exposiciones de seguridad de la información conocidas públicamente. Los identificadores comunes de CVE permiten el intercambio de datos entre productos de seguridad y proporcionan un punto de referencia para evaluar la cobertura de herramientas y servicios.

Las herramientas de escaneo usan más comúnmente CVE para la clasificación.
Las herramientas SIEM tendrían la comprensión de los CVE al informar.

Podemos descargar la copia maestra de CVE del sitio web de CVE. También encuentre la lista de objetivos de cobertura de CVE. Como característica más actualizada, se ha introducido la calculadora de puntuación de vulnerabilidad común.

CERT Vulnerability Notes

La base de conocimiento CERT es una recopilación de información de seguridad de Internet relacionada con incidentes y vulnerabilidades. La base de conocimiento del CERT alberga la base de datos pública de de vulnerabilidades, así como dos componentes de acceso restringido. Las notas de vulnerabilidades incluyen resúmenes, detalles técnicos, información de corrección y listas de proveedores afectados.

Sources to trace New Vulnerabilities

VulnDB – Vulnerability Intelligence

Sources to trace New Vulnerabilities

VulnDB ofrece  seguridad basada en riesgo, para un sistema de inteligencia integral de busqueda de vulnerabilidades a través de una fuente de datos continuamente actualizada. Basado en la base de datos de vulnerabilidades más grande y completa, VulnDB permite a las organizaciones sondear con lo último en información de vulnerabilidades de seguridad de software. La oferta de suscripción a VulnDB brinda a las organizaciones información de vulnerabilidades oportuna, precisa y exhaustiva.

  • Bibliotecas de terceros: más de 2.000 bibliotecas de software identificadas y rastreadas por problemas.
  • API RESTful: capacidad de integrar datos fácilmente con la exportación CSV personalizada y el uso de API RESTful flexible.
  • Alertas por correo electrónico: capacidad de configurar alertas por correo electrónico para múltiples direcciones de correo electrónico por proveedor, producto, versión y criterios de búsqueda.
  • Equipo de investigación: el equipo realiza un análisis más profundo de vulnerabilidades seleccionadas para proporcionar a los clientes la información más detallada disponible sobre causa e impacto.
  • Asignación de CVE: ~ 100% de asignación a CVE / NVD
  • Alertas oportunas: monitoreo y alertas 24 × 365
  • Puntuaciones de riesgo: sistema de clasificación extendido y con propias métricas CVSSv2, así como VTEM (cronología de vulnerabilidad y métricas de exposición).
  • Análisis técnico: análisis detallado proporcionado para vulnerabilidades.
  • Información detallada: más de 70 campos de datos que incluyen información sobre fuentes de vulnerabilidad, referencias extensas y enlaces a soluciones.
  • Análisis de impacto.
  • Orientación de mitigación.
  • Enlaces a parches de seguridad
  • Enlaces a exploits.
  • Evaluaciones de proveedores y productos.

Base de datos DISA IAVA y STIGS

Sources to trace New Vulnerabilities

Las ID de CVE se asignan a Alertas de Vulnerabilidad de Aseguramiento de la Información (IAVA) de la Agencia del Sistema de Información de Defensa de los Estados Unidos (DISA), las descargas se publican en el sitio web de las Guías de Implementación Técnica de Seguridad Pública (STIG) de DISA.

“IAVA, la base de datos de mapeo de vulnerabilidades basadas en DISA, se basa en fuentes SCAP afectadas, y de vez en cuando contiene detalles para sistemas gubernamentales que no son parte del mundo comercial”, dice Morey Haber, vicepresidente de tecnología de BeyondTrust . “Para cualquier proveedor trabaje con  .gov o .mil, esta referencia es imprescindible”.

SecurityTracker

SecurityTracker es una biblioteca de bases de datos de vulnerabilidades de terceros que se actualiza diariamente.

“El sitio web tiende a centrarse en las vulnerabilidades que no son de sistemas operativos, pero ciertamente están incluidas en el feed”, dice Morey Haber, vicepresidente de tecnología de BeyondTrust. “Es un buen sitio de referencia de terceros para nuevas vulnerabilidades de infraestructuras de IoT “.

Open Vulnerability And Assessment Language

Sources to trace New Vulnerabilities

VAL De alcance internacional y gratuito para uso público, OVAL es un esfuerzo de la comunidad de seguridad de la información para estandarizar cómo evaluar e informar sobre el estado de los equipos y los sistemas informáticos. OVAL incluye un lenguaje para codificar los detalles de los sistemas y una variedad de repositorios de contenido en toda la comunidad.

Las herramientas y servicios que usan OVAL para los tres pasos de la evaluación de los sistemas, que representan la información del sistema, expresan estados específicos de los equipos e informan los resultados de la evaluación, brindan a las empresas información precisa, coherente y procesable para que puedan mejorar su seguridad. El uso de OVAL también proporciona métricas de garantía de información confiables y reproducibles y permite la interoperabilidad y la automatización entre herramientas y servicios de seguridad.

Consejo Nacional de ISAC

Los Centros de Análisis e Intercambio de Información (ISAC)  son organizaciones sin fines de lucro, dirigidas por miembros, formadas por propietarios y operadores de infraestructuras críticas para compartir información entre el gobierno y la industria. El objetivo principal de los ISAC es difundir rápidamente alertas físicas y de amenazas cibernéticas y otra información crítica a las organizaciones miembros.

Si su negocio opera dentro de un sector de infraestructuras críticas, considere convertirse en miembro de un ISAC. A continuación encontrará una pequeña porción de los ISAC asociados con el consejo nacional de ISAC. Hay muchos más en el sitio web del Consejo Nacional de ISAC.

MS-ISAC (multiestado): MS-ISAC es el punto focal para la prevención, protección, respuesta y recuperación de amenazas cibernéticas para los gobiernos estatales, locales, tribales y territoriales (SLTT) de USA.

FS-ISAC (servicios financieros): FS-ISAC es el recurso de referencia de la industria financiera mundial para el análisis e intercambio de inteligencia sobre amenazas cibernéticas y físicas.

A-ISAC (aviación): el ISAC de aviación proporciona una función de análisis e intercambio de información centrada en la aviación para ayudar a proteger las empresas, operaciones y servicios de aviación global.

AUTO-ISAC (automotriz): la automotriz ISAC es una organización sin fines de lucro para compartir información que es propiedad y está operada por fabricantes y proveedores automotrices: el 98% de los vehículos en los Estados Unidos están representados por compañías miembros en ISAC

ONG-ISAC (petróleo y gas): El ISAC de petróleo y gas natural fue creado para proporcionar inteligencia compartida sobre incidentes cibernéticos, amenazas, vulnerabilidades y respuestas asociadas presentes en toda la industria del petróleo y el gas.

NH-ISAC (asistencia sanitaria nacional): el centro oficial de análisis e intercambio de información sobre asistencia sanitaria ofrece a las partes interesadas de la asistencia sanitaria sin ánimo de lucro una comunidad y un foro para compartir indicadores de amenazas cibernéticas y físicas, mejores prácticas y estrategias de mitigación.

IT-ISAC (tecnología de la información): los miembros participan en los esfuerzos de seguridad nacional para fortalecer la infraestructura de TI a través del intercambio y análisis de información cibernética.

También hay un número creciente de organizaciones de análisis e intercambio de información, o ISAO, específicas para diversas industrias, grupos y regiones. Los ISAO provienen de una Orden Ejecutiva de 2015 que pide la formación de más grupos de intercambio de información entre comunidades específicas.

 

 

 

Vea También

Investigador demuestra 4 nuevas variantes del ataque del tipo HTTP Request Smuggling

Una nueva investigación ha identificado cuatro nuevas variantes de ataques HTTP Request Smuggling que funcionan …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.