CVE<\/a> significa Common Vulnerabilities or Exposers (Vulnerabilidades ou Expositores Comuns), e \u00e9 uma lista p\u00fablica de vulnerabilidades de seguran\u00e7a cibern\u00e9tica. Este gloss\u00e1rio organiza esses pontos fracos de seguran\u00e7a com n\u00fameros de identifica\u00e7\u00e3o, datas e descri\u00e7\u00f5es.<\/p>\n CVSS<\/a> significa Common Vulnerability Scoring System (Sistema de Pontua\u00e7\u00e3o de Vulnerabilidades Comuns) e \u00e9 uma pontua\u00e7\u00e3o num\u00e9rica que classifica a gravidade das vulnerabilidades em uma escala de 0 a 10, sendo 10 a mais grave. \u00c9 frequentemente usado para classificar a gravidade das vulnerabilidades divulgadas publicamente e listadas no CVE.<\/p>\n As classifica\u00e7\u00f5es CVE e CVSS s\u00e3o avalia\u00e7\u00f5es de vulnerabilidades. De acordo com o National Vulnerability Database<\/a>, uma vulnerabilidade \u00e9 “um ponto fraco na l\u00f3gica computacional (por exemplo, c\u00f3digo) encontrado em componentes de software e hardware que, quando explorado, resulta em um impacto negativo na confidencialidade, integridade ou disponibilidade” Antes de corrigir uma vulnerabilidade, as organiza\u00e7\u00f5es usar\u00e3o as pontua\u00e7\u00f5es CVSS do CVE & para obter mais informa\u00e7\u00f5es sobre a vulnerabilidade e sua gravidade.<\/p>\n Atualmente, o MITRE<\/a> gerencia o banco de dados CVE e trabalha em estreita colabora\u00e7\u00e3o com o National Vulnerability Database (NVD), que faz parte do National Institute of Standards and Technology (NIST). Para encontrar as pontua\u00e7\u00f5es CVSS, as empresas contam com a FIRST<\/a>, uma organiza\u00e7\u00e3o norte-americana sem fins lucrativos.<\/p>\n Atualmente, as equipes de TI confiam nas pontua\u00e7\u00f5es do CVE & CVSS para saber mais sobre os pontos fracos de seguran\u00e7a antes de criar estrat\u00e9gias para solucion\u00e1-los. Alguns usos comuns para as pontua\u00e7\u00f5es CVSS do CVE & incluem:<\/p>\n As pontua\u00e7\u00f5es CVSS quantificam a gravidade das vulnerabilidades. Uma equipe de TI pode usar essas informa\u00e7\u00f5es para determinar quais vulnerabilidades representam as amea\u00e7as mais graves e resolv\u00ea-las primeiro, antes de passar para os pontos fracos menores.<\/p>\n Por exemplo, uma vulnerabilidade com uma pontua\u00e7\u00e3o CVSS de 8 \u00e9 uma amea\u00e7a maior do que uma vulnerabilidade com uma pontua\u00e7\u00e3o de 3. Nesse caso, uma equipe de TI pode resolver primeiro a vulnerabilidade com pontua\u00e7\u00e3o 8 antes de resolver a vulnerabilidade menos grave com pontua\u00e7\u00e3o 3.<\/p>\n O CVE fornece descri\u00e7\u00f5es, datas e outras informa\u00e7\u00f5es sobre vulnerabilidades. Al\u00e9m disso, o CVE \u00e0s vezes lista as corre\u00e7\u00f5es ou solu\u00e7\u00f5es para uma vulnerabilidade espec\u00edfica. Essas informa\u00e7\u00f5es valiosas permitem que a equipe de TI saiba mais sobre uma vulnerabilidade para que possa encontrar uma solu\u00e7\u00e3o.<\/p>\n CVE & As pontua\u00e7\u00f5es CVSS fornecem orienta\u00e7\u00e3o para uma equipe de TI e suporte adicional para os esfor\u00e7os de gerenciamento de patches. Essas avalia\u00e7\u00f5es ajudam a equipe de TI a planejar, preparar e resolver as vulnerabilidades antes que elas se tornem problemas s\u00e9rios para a organiza\u00e7\u00e3o.<\/p>\n Priorize e corrija as vulnerabilidades mais urgentes com o software de corre\u00e7\u00e3o automatizado da NinjaOne.<\/p>\n \u2192 Experimente o NinjaOne Patch Management gratuitamente<\/a> ou assista a uma demonstra\u00e7\u00e3o<\/a>.<\/p>\n<\/div>\n Embora as pontua\u00e7\u00f5es CVSS do CVE & n\u00e3o sejam perfeitas, elas s\u00e3o atualmente algumas das melhores avalia\u00e7\u00f5es a serem usadas para vulnerabilidades. Eles permitem que as equipes de TI categorizem, priorizem e criem uma ordem ao lidar com vulnerabilidades inc\u00f4modas. Al\u00e9m disso, as equipes de TI podem contar com as pontua\u00e7\u00f5es do CVE & CVSS em conjunto para obter mais informa\u00e7\u00f5es sobre os pontos fracos de seguran\u00e7a e criar um plano para resolv\u00ea-los.<\/p>\n Embora algumas organiza\u00e7\u00f5es afirmem que as pontua\u00e7\u00f5es do CVE & CVSS s\u00e3o usadas em excesso e supervalorizadas<\/a> no espa\u00e7o da seguran\u00e7a cibern\u00e9tica, elas s\u00e3o atualmente as melhores avalia\u00e7\u00f5es dispon\u00edveis para vulnerabilidades. Dito isso, eles t\u00eam certas limita\u00e7\u00f5es, conforme mostrado abaixo:<\/p>\n Infelizmente, as pontua\u00e7\u00f5es CVSS atribu\u00eddas \u00e0s vulnerabilidades nem sempre medem o risco com precis\u00e3o. Por exemplo, as vulnerabilidades com pontua\u00e7\u00e3o 7.0 ou superior s\u00e3o consideradas as amea\u00e7as mais graves e devem ser tratadas antes das demais. No entanto, as amea\u00e7as com pontua\u00e7\u00e3o 6,5 s\u00e3o menos perigosas do que as amea\u00e7as com pontua\u00e7\u00e3o 7,0? \u00c0s vezes, a vulnerabilidade 6.5 acaba causando mais problemas do que uma vulnerabilidade 7.0.<\/p>\n Depois que uma pontua\u00e7\u00e3o CVSS \u00e9 atribu\u00edda a uma vulnerabilidade, ela geralmente nunca \u00e9 alterada ou atualizada. Essa pontua\u00e7\u00e3o est\u00e1tica n\u00e3o leva em conta nenhuma altera\u00e7\u00e3o ou nova informa\u00e7\u00e3o.<\/p>\n Como a pontua\u00e7\u00e3o CVSS \u00e9 simplesmente um n\u00famero, ela n\u00e3o fornece nenhum contexto ou informa\u00e7\u00e3o adicional sobre uma vulnerabilidade. Por esse motivo, \u00e9 dif\u00edcil determinar como uma vulnerabilidade realmente afetar\u00e1 um sistema de seguran\u00e7a.<\/p>\n Embora o CVE forne\u00e7a algumas informa\u00e7\u00f5es sobre uma vulnerabilidade, ele n\u00e3o \u00e9 suficiente para que uma equipe de seguran\u00e7a de TI possa us\u00e1-lo para corrigir o problema. A Kenna Security<\/a> explica esse problema afirmando: “Os registros de CVE, por exemplo, geralmente n\u00e3o cont\u00eam informa\u00e7\u00f5es importantes, como c\u00f3digos de explora\u00e7\u00e3o, corre\u00e7\u00f5es, alvos populares, malware conhecido, detalhes de execu\u00e7\u00e3o de c\u00f3digo remoto etc. Para encontr\u00e1-los, a equipe de seguran\u00e7a precisa fazer algumas investiga\u00e7\u00f5es adicionais. (Os registros de CVE costumam ter links para sites de fornecedores e outros recursos, que, por sua vez, podem incluir links para patches e recomenda\u00e7\u00f5es de corre\u00e7\u00e3o. Mas \u00e9 um processo manual, de ca\u00e7a e busca, que pode ser esmagador para as equipes de seguran\u00e7a que se deparam com uma lista de centenas, at\u00e9 milhares, das chamadas vulnerabilidades cr\u00edticas<\/p>\n O CVE se concentra apenas nas vulnerabilidades de software n\u00e3o corrigido, ignorando os riscos ou amea\u00e7as que t\u00eam como alvo o software corrigido. O fato de o software ter sido corrigido n\u00e3o significa que ele esteja completamente seguro contra vulnerabilidades e amea\u00e7as.<\/p>\n Embora seja uma cren\u00e7a comum que o CVE oferece corre\u00e7\u00f5es para vulnerabilidades, nem sempre \u00e9 esse o caso. O CVE \u00e0s vezes oferece solu\u00e7\u00f5es ou corre\u00e7\u00f5es para vulnerabilidades, mas n\u00e3o 100% das vezes.<\/p>\n Proteja seus dispositivos e mantenha-os atualizados com o NinjaOne.<\/p>\n \u2192 Explore os recursos do NinjaOne Patch Management.<\/a><\/p>\n<\/div>\n Aplicar patches e lidar com vulnerabilidades n\u00e3o \u00e9 uma tarefa f\u00e1cil. \u00c9 por isso que a NinjaOne oferece uma solu\u00e7\u00e3o de gerenciamento de patches<\/a> que automatiza os processos de aplica\u00e7\u00e3o de patches em um \u00fanico painel de controle. Com o NinjaOne, voc\u00ea pode minimizar os custos, reduzir a complexidade, economizar tempo e corrigir as vulnerabilidades rapidamente. Entre em contato com a NinjaOne hoje mesmo para saber mais e iniciar sua avalia\u00e7\u00e3o gratuita<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00c0 medida que entramos no novo ano, as organiza\u00e7\u00f5es podem esperar que o n\u00famero de ataques cibern\u00e9ticos aumente significativamente. Para combater essas amea\u00e7as futuras, processos eficazes de aplica\u00e7\u00e3o e gerenciamento de patches ser\u00e3o essenciais. Antes de corrigir as vulnerabilidades, h\u00e1 duas avalia\u00e7\u00f5es principais de vulnerabilidade nas quais as equipes de TI devem se concentrar: CVE […]<\/p>\n","protected":false},"author":89,"featured_media":273470,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[12373],"tags":[],"class_list":["post-803486","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-ops-pt-br"],"acf":[],"modified_by":"AnaMaria Diaconescu","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/posts\/803486","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/users\/89"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/comments?post=803486"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/posts\/803486\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/media\/273470"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/media?parent=803486"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/categories?post=803486"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/tags?post=803486"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}O que \u00e9 a pontua\u00e7\u00e3o CVSS
\n<\/b><\/h3>\nDiferen\u00e7as entre as pontua\u00e7\u00f5es CVE e CVSS<\/h2>\n
Onde encontrar pontua\u00e7\u00f5es CVE e CVSS<\/h2>\n
Usos das pontua\u00e7\u00f5es CVE e CVSS<\/h2>\n
\n
Quantifica\u00e7\u00e3o da gravidade das vulnerabilidades<\/h3>\n<\/li>\n<\/ul>\n
\n
Entenda mais sobre cada vulnerabilidade<\/h3>\n<\/li>\n<\/ul>\n
\n
Suporte aos esfor\u00e7os de gerenciamento de patches<\/h3>\n<\/li>\n<\/ul>\n
A import\u00e2ncia das pontua\u00e7\u00f5es CVE e CVSS<\/h2>\n
Limita\u00e7\u00f5es do CVE & Pontua\u00e7\u00f5es CVSS<\/h2>\n
Limita\u00e7\u00f5es da pontua\u00e7\u00e3o CVSS<\/h3>\n
\n
Mede o risco de forma imprecisa<\/h4>\n<\/li>\n<\/ul>\n
\n
Permanece inalterado e n\u00e3o atualizado<\/h4>\n<\/li>\n<\/ul>\n
\n
Omite o contexto necess\u00e1rio<\/b><\/h5>\n<\/li>\n<\/ul>\n
Limita\u00e7\u00f5es da pontua\u00e7\u00e3o CVE<\/h3>\n
\n
Falta de informa\u00e7\u00f5es cr\u00edticas<\/h4>\n<\/li>\n<\/ul>\n
\n
Ignora amea\u00e7as para software corrigido<\/h4>\n<\/li>\n<\/ul>\n
\n
Falha ao fornecer sempre uma corre\u00e7\u00e3o<\/h4>\n<\/li>\n<\/ul>\n
Fortale\u00e7a sua seguran\u00e7a de TI com o NinjaOne<\/h2>\n