Ocho siglas relacionadas con las vulnerabilidades (V): CVRF

Evidentemente, uno de los factores críticos sobre el que gira el mundo de la seguridad es el estudio y control de vulnerabilidades. Organizaciones como MITRE, FIRST e ICASI se encargan de gestionar y estandarizar este importante aspecto. Otra de las iniciativas de estas organizaciones para cubrir este ámbito es CVRF o Common Vulnerability Reporting Framework.

Estas siglas pertenecen a ICASI (The Industry Consortium for Advancement of Security on the Internet), una organización sin ánimo de lucro que intenta solucionar desafíos de seguridad, con la finalidad de proteger mejor las infraestructuras que ofrecen servicios a empresas, gobiernos y ciudadanos de todo el mundo. En concreto, el formato CVRF intenta afrontar el problema que surge a la hora de comunicar vulnerabilidades tanto entre profesionales de diferentes compañías como entre sistemas automáticos. ¿Qué información debe contener la descripción de una vulnerabilidad? ¿Qué campos se deben comunicar? ¿En qué formato? CVRF es la fórmula estándar para resolver estas cuestiones.

CVRF se trata de un lenguaje basado en XML que permite compartir información crítica relacionada con la seguridad en un formato único, permitiendo así un rápido intercambio y gestión de la información. En realidad este lenguaje no solo es utilizado para compartir información relacionada con las vulnerabilidades, sino que también ha sido desarrollado para poder transmitir cualquier tipo de información concerniente a la seguridad. Su primera versión fue publicada en mayo de 2011, sin embargo, la versión actual es la 1.1 y fue creada en mayo de 2012.

La siguiente imagen resume esquemáticamente cuánta información puede contener y comunicarse con este lenguaje, a la vez que desvela cómo se organizan los datos. Se cubren los aspectos más importantes relacionados con temas de seguridad y requerimientos a la hora de difundir esta información.

Mapa lógico del formato CVRF 1.1

La siguiente leyenda es necesaria para comprender los distintos elementos y atributos contenidos en este lenguaje.

Leyenda para comprender el mapa lógico de CVRF

Dentro del lenguaje, en caso de que sea aplicable, se incluyen algunas de las iniciativas del MITRE como lo son CVE, CWE y CPE (Common Platform Enumeration), que permiten afinar la información y estandarizar todo lo posible los diferentes campos que definen una vulnerabilidad.

En la actualidad, el CVE ha adoptado el formato CVFR para publicar el contenido de la información registrada en cada una de sus entradas. Con esto, el CVRF permite que la información sobre vulnerabilidades pueda ser compartida en un formato estandarizado, y que además sea fácilmente interpretado por sistemas o herramientas de proveedores y consumidores.

Compañías como Red Hat, Microsoft, Cisco Systems u Oracle utilizan este lenguaje propuesto tanto con sus consumidores como con otros proveedores de información (como es el caso del CVE). A su vez, el CVE alimenta con esta información distintas bases de datos de vulnerabilidades que son constantemente utilizadas por muchas de las herramientas de diagnóstico de vulnerabilidades. Algunas de estas bases de datos que colaboran con la difusión de la información relacionada con las vulnerabilidades son OSVDB, NVD o CVE Details. Por tanto, la difusión de la información con estándares de este tipo garantiza una homogeneidad en los datos mostrados sin importar la fuente y disponer de fuentes tan completas como sea posible.

Las listas de CVEs correspondientes a cada año se pueden descargar en este formato desde la web de oficial de CVE. En su contenido puede verse la estructura de este lenguaje basado en XML donde cada CVE contiene una serie de propiedades y cada una de ellas contiene la información correspondiente a la vulnerabilidad.