INB COMPUTERS "Honestidad, calidad y profesionalismo"

NIST

POST ED: 14 de octubre de 2020 ACTUALIZADO EN: 18 octubre, 2024

Instituto Nacional de Tecnología y Estándares. Base Nacional de Vulnerabilidad [Archivo de imagen]. Recuperado el 14 de octubre de 2020 de https://nvd.nist.gov/Vulnerability-Metrics/Calculator-Product-Integration

NATIONAL VULNERABILITY DATABASE

Integración de productos utilizando calculadoras NVD CVSS

Las organizaciones que han creado productos compatibles con CVSS pueden integrarse con las calculadoras NVD CVSS mediante la creación de un hipervínculo que incluya el vector CVSS o, opcionalmente, el CVE-ID. Esto funciona para métricas base, temporales y ambientales dentro de una cadena de vectores. A continuación se proporcionan ejemplos de cómo se puede hacer esto.

NOTA: Si proporciona un CVE-ID y una cadena de vectores CVSS, la cadena de vectores proporcionada debe coincidir con la cadena de vectores almacenada en el NVD. Si la cadena de vectores proporcionada no coincide con la cadena de vectores almacenada en el NVD, se mostrará un banner de advertencia y en su lugar se mostrará la cadena de vectores NVD. Esto significa que cuando se estipula un ID de CVE, solo se pueden proporcionar métricas base.

NVD proporciona un sistema de puntuación de vulnerabilidad común, conocido como CVSS (en inglés, Common Vulnerability Scoring System) para facilitar un método abierto y estandarizado de calificación de vulnerabilidades.

González Manzano, L. Universidad Carlos III de Madrid y IDB_UC3Mx (2021). Semana 6. Lección 6 / 6.6.2. National Vulnerability Database (NVD). edX Inc. https://www.edx.org/es/course/fundamentos-de-ciberseguridad-un-enfoque-practico

Versio.io (2021). Software security vulnerabilities detection with Dynatrace topology and NVD data [Data image]. https://www.versio.io/img/news/20190809-nvd-based-problem-detection/logo-national-institute-of-standard-and-technology.png

Base de datos de CVE

CVE Details "The ultimate security vulnerability datasource". https://www.cvedetails.com/

Consulta las vulnerabilidades CVE desde la base de datos nacional de vulnerabilidad (NVST - NATIONAL VULNERABILITY DATABASE) https://nvd.nist.gov/

Ejemplos de V3

Ejemplo de hipervínculo a la calculadora CVSS v3 con ID de vulnerabilidad:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2016-0051Ejemplo de hipervínculo a la calculadora CVSS v3 con una cadena de vector base:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:L/PR:L/UI:N/S : U / C: H / I: H / A: HEjemplo de hipervínculo a la calculadora CVSS v3 con ID de vulnerabilidad y cadena de vector base:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2016-0051&vector=AV:L/AC:L/ PR: L / UI: N / S: U / C: H / I: H / A: HEjemplo de hipervínculo a la calculadora CVSS v3 con una cadena de vector de métricas base y temporal:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:H/PR:L/UI: R / S: C / C: L / I: L / A: N / E: P / RL: T / RC: REjemplo de hipervínculo a la calculadora CVSS v3 con una cadena de vector de métricas base, temporal y ambiental:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:H/PR:L/ UI: R / S: C / C: L / I: L / A: N / CR: H / IR: H / AR: M / MAV: L / MAC: L / MPR: N / MUI: R / MS: C / MC: N / MI: N / MA: LEjemplo de hipervínculo con ID de CVE, cadena de vector base y alternancia de versión de calculadora v3.x:https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2018-8011&vector=AV:N/AC : L / PR: N / UI: N / S: U / C: N / I: N / A: H & versión = 3.1 https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name= CVE-2018-8011 & vector = AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H y versión = 3.0

Ejemplos V2

Ejemplo de hipervínculo a la calculadora CVSS v2 con ID de vulnerabilidad:https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2007-1001Ejemplo de hipervínculo a la calculadora CVSS v2 con una cadena de vector base:https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N/C:N/ Yo: P / A: C)Ejemplo de hipervínculo a la calculadora CVSS v2 con ID de vulnerabilidad y cadena de vector base:https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2016-0051&vector=(AV:L/AC:L / Au: N / C: C / I: C / A: C)Ejemplo de hipervínculo a la calculadora CVSS v2 con una cadena de vector de métricas base y temporal:https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N/C : N / I: P / A: C / E: POC / RL: OF / RC: C)Ejemplo de hipervínculo a la calculadora CVSS v2 con una cadena de vector de métricas base, temporal y ambiental:https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?vector=(AV:L/AC:H/Au:N / C: N / I: P / A: C / E: POC / RL: OF / RC: C / CDP: L / TD: M / CR: L / IR: L / AR: H)

Common Vulnerability Scoring System

CVSS v3: https://www.first.org/cvss/v3-1/cvss-v31-user-guide_r1.pdf

El Common Vulnerability Scoring System (CVSS) es un marco abierto para comunicar las características y la gravedad de las vulnerabilidades del software. CVSS consta de tres grupos de métricas: base, temporal y ambiental. El grupo Base representa las cualidades intrínsecas de una vulnerabilidad que son constantes a lo largo del tiempo y en todos los entornos de usuario, el grupo Temporal refleja las características de una vulnerabilidad que cambian con el tiempo y el grupo Ambiental representa las características de una vulnerabilidad que son exclusivas de un usuario. ambiente. Las métricas base producen una puntuación que va de 0 a 10, que luego se puede modificar puntuando las métricas temporales y ambientales.

https://www.first.org/cvss/v3-1/cvss-v31-user-guide_r1.pdf

Instituto Nacional de Tecnología y Estándares. Base Nacional de Vulnerabilidad. Recuperado el 14 de octubre de 2020 de https://nvd.nist.gov/Vulnerability-Metrics/Calculator-Product-Integration