Métodos para el Cálculo y Evaluación de Vulnerabilidades en Ciberseguridad

By /

Se conocen más de 180.000 vulnerabilidades de seguridad y cada año se descubren nuevas. Con tantas brechas potenciales en la infraestructura y tantas posibilidades de ataque en los sistemas, no es sorprendente que la ciberdelincuencia haya aumentado considerablemente en los últimos años. Incluso con defensas de seguridad de primera calidad, los sistemas de información y seguridad de una organización pueden ser atacados, pirateados o secuestrados por los ciberdelincuentes. Para contrarrestar esta amenaza creciente, la evaluación de vulnerabilidades se ha convertido en una práctica esencial.

Introducción a la Evaluación de Vulnerabilidades

Una evaluación de la vulnerabilidad es el proceso de revisión y estimación de todas las posibles debilidades de seguridad en la infraestructura de un sistema de información. Este tipo de evaluación se utiliza para identificar, priorizar y mitigar vulnerabilidades, y para minimizar potenciales amenazas a la seguridad. Estas evaluaciones también descubren y analizan las vulnerabilidades dentro del entorno físico de la organización. Las evaluaciones de vulnerabilidad deben realizarse regularmente, especialmente cuando se instalan nuevos equipos, se añaden puertos o se introducen servicios.

Esquema de las etapas de una evaluación de vulnerabilidades en ciberseguridad

Tipos de Evaluaciones de Vulnerabilidad

Los diferentes tipos de evaluaciones de vulnerabilidad utilizan herramientas individuales para identificar los puntos débiles del sistema y de la red:

  • Evaluación del host: Se centra en los servidores, estaciones de trabajo y otros elementos de la red críticos.
  • Evaluación de la red: Se utiliza para identificar posibles vulnerabilidades de conjunto.
  • Evaluación inalámbrica: Tiene como objetivo analizar la red Wi-Fi de una organización. Las redes inalámbricas inseguras, incluidas las que tienen puntos de acceso no aprobados, pueden provocar ataques a toda la infraestructura.
  • Evaluaciones de bases de datos: Analizan el conjunto de datos almacenados de una organización en busca de vulnerabilidades. Los ataques maliciosos, como las inyecciones SQL, suelen tener como objetivo bases de datos con configuraciones erróneas, no registradas o con tests de desarrollo débiles (DevTest).
  • Evaluación de aplicaciones: Analiza las aplicaciones web, los sitios y el código fuente en busca de descargas de software incorrectas, configuraciones rotas y otras vulnerabilidades de seguridad.

Es importante destacar que las evaluaciones de vulnerabilidad y las pruebas de penetración no son lo mismo, aunque pueden confundirse. Las pruebas de penetración se utilizan específicamente para encontrar debilidades en el personal, en la organización y en sus procedimientos, y son un proceso adicional que puede añadirse a la evaluación de la vulnerabilidad. Las pruebas de penetración utilizan maniobras tanto automáticas como manuales para comprobar las vulnerabilidades, las cuales son luego analizadas por investigadores para crear protecciones y defensas específicas.

Etapas de una Evaluación de Vulnerabilidad

El proceso de evaluación de vulnerabilidades sigue una secuencia lógica de etapas:

  1. Identificación: Es la primera etapa. Antes de comenzar un escáner, se deben identificar los activos escaneables, incluyendo dispositivos móviles, dispositivos del Internet de las Cosas (IoT) y programas basados en la nube. A continuación, la infraestructura es escaneada por herramientas automatizadas o manualmente por analistas de seguridad.
  2. Análisis: En esta etapa, el objetivo es encontrar el origen y la causa de cada debilidad. Para identificar la causa raíz, los componentes de la infraestructura responsables de cada vulnerabilidad deben ser verificados y analizados. Los escáneres de vulnerabilidad y sus bases de datos integradas de vulnerabilidades conocidas pueden señalar posibles puntos débiles del sistema, dispositivos vulnerables y software de riesgo.
  3. Evaluación y Priorización de Riesgos: Después de identificar y analizar las vulnerabilidades, se lleva a cabo una evaluación de riesgos para determinar su priorización. Los analistas de seguridad asignan a cada vulnerabilidad una puntuación de gravedad, donde los números más altos indican puntos débiles que deben abordarse lo antes posible.
  4. Remediación y Mitigación: Esta etapa final suele estar a cargo de los profesionales de la seguridad y los equipos de operaciones. Se centra en encontrar formas de aliviar las debilidades mientras se desarrollan planes para disminuir la posibilidad de que vuelvan a aparecer las vulnerabilidades. La gravedad y la exposición a la vulnerabilidad (si está orientada al público o a la red) son consideraciones clave para la priorización de la reparación. Si se publican parches del sistema o correcciones de la vulnerabilidad, el proceso de evaluación debe comenzar de nuevo.

Las herramientas de evaluación de vulnerabilidad son procesos automatizados que pueden ser utilizados por cualquier persona, desde expertos en ciberseguridad hasta usuarios domésticos. Estas herramientas escanean los sistemas en busca de vulnerabilidades existentes y de nuevos puntos débiles no comunicados. Además del tipo de evaluación que realiza cada herramienta, estas tienen características propias que el usuario debe tener en cuenta.

Comprensión y Cálculo de Puntuaciones de Riesgo

Una puntuación de riesgo cuantifica el nivel de riesgo asociado con una decisión, actividad o amenaza específica, permitiendo a las organizaciones priorizar y mitigar eficazmente los riesgos. Esta puntuación traduce las complejas dimensiones del riesgo en un número sencillo que es fácil de interpretar.

Componentes Fundamentales de una Puntuación de Riesgo

Para entender y calcular una puntuación de riesgo, se deben considerar dos componentes fundamentales:

  • Probabilidad del riesgo: Este componente evalúa la probabilidad de que ocurra el riesgo. Puede medirse usando valores numéricos (ej. del 1 al 5), porcentajes o descriptores cualitativos (ej. raro, probable, casi seguro). Para determinarla, se consideran datos históricos, expertos internos, tendencias de la industria y la fortaleza de los controles existentes.
  • Impacto del riesgo: Este componente considera las consecuencias del evento de riesgo si se materializa. Para evaluarlo, se considera la posible pérdida financiera, el daño reputacional y las implicaciones legales y de cumplimiento. Al igual que la probabilidad, el impacto puede cuantificarse usando valores numéricos o descriptores cualitativos, desde mínimo hasta catastrófico.

Fórmula Básica para el Cálculo de la Puntuación de Riesgo

Una fórmula simple para calcular una puntuación de riesgo es una combinación de la probabilidad y el impacto del riesgo:

Puntuación de Riesgo = Probabilidad × Impacto

Este cálculo básico permite a las organizaciones obtener una visión rápida para comparar y priorizar diferentes riesgos. Una puntuación de riesgo más alta indica un mayor nivel de riesgo, con esfuerzos de mitigación más urgentes.

Por ejemplo, si la probabilidad de una brecha de datos es 4 (en una escala de 1 a 5) y el impacto potencial es 5, la puntuación de riesgo sería: 4 × 5 = 20. Si la probabilidad de una falla del servidor es 2 y el impacto es 4, la puntuación de riesgo sería: 2 × 4 = 8. Estas puntuaciones ayudan a comparar riesgos y asignar recursos.

Análisis de Riesgo Cualitativo vs. Cuantitativo

Existen dos formas fundamentales de evaluar el riesgo:

  • Enfoque cualitativo: Se basa en la experiencia y el conocimiento para asignar una calificación de riesgo como "muy probable" o "crítico" (ej. matriz de evaluación de riesgos).
    • Cuándo usarlo: Con recursos limitados, en entornos altamente complejos o cuando los datos cuantitativos son escasos.
  • Enfoque cuantitativo: Utiliza cálculos matemáticos y datos medibles para asignar puntuaciones numéricas de riesgo como "37% de probabilidad" y "$20k de pérdida anual".
    • Cuándo usarlo: Cuando se necesita precisión para decisiones financieras exactas, para justificar inversiones en ciberseguridad o para cumplir con requisitos regulatorios y de cumplimiento (ej. cumplimiento de SOX).

Metodologías Populares para Cuantificar el Riesgo de Ciberseguridad

Pérdida Anual Esperada (ALE)

El ALE cuantifica la posible pérdida financiera que una organización puede esperar en un año como resultado de incidentes o amenazas de seguridad específicos. Es valiosa para priorizar inversiones y estrategias de ciberseguridad. La fórmula es:

ALE = SLE (Pérdida Esperada Única) × ARO (Tasa Anual de Ocurrencia)

  • SLE (Pérdida Esperada Única): Es la pérdida monetaria estimada o el impacto de una sola ocurrencia de una amenaza. Se calcula como: SLE = Valor del Activo × EF (Factor de Exposición), donde EF es el porcentaje de pérdida estimado.
  • ARO (Tasa Anual de Ocurrencia): Es la frecuencia esperada de que ocurra una amenaza en un año.

Al calcular el ALE para varias amenazas, las organizaciones pueden tomar decisiones informadas sobre la asignación de recursos y justificar presupuestos de ciberseguridad.

Ejemplo: Una violación de datos con un SLE de $400,000 y un ARO de 0.2 (una ocurrencia cada cinco años) resulta en un ALE de $400,000 × 0.2 = $80,000. Esto significa que la organización puede esperar perder un promedio de $80,000 anuales debido a violaciones de datos.

Análisis de Factores de Riesgo de Información (FAIR)

FAIR es un marco para cuantificar el riesgo de información en términos financieros, desglosando el riesgo en factores como la frecuencia de eventos de amenaza, la vulnerabilidad y la magnitud de la pérdida. FAIR divide el riesgo en dos categorías principales:

  • Frecuencia del Evento de Pérdida (LEF): La frecuencia con la que se espera que ocurra un evento de pérdida específico, considerando:
    • Frecuencia del Evento de Amenaza (TEF): La frecuencia con la que es probable que ocurra un evento de amenaza.
    • Vulnerabilidad: La probabilidad de que un evento de amenaza se convierta en un evento de pérdida.
  • Magnitud de Pérdida Probable (PLM): El rango de pérdidas potenciales para cada evento, considerando:
    • Pérdida Primaria: Pérdidas financieras directas de un evento.
    • Pérdida Secundaria: Pérdidas indirectas (daños reputacionales, costos de respuesta, etc.).

Aunque FAIR no ofrece fórmulas específicas para cada paso, las organizaciones suelen utilizar simulaciones de Monte Carlo u otros modelos estadísticos para calcular LEF y PLM. El riesgo se expresa típicamente como un rango financiero.

Ejemplo: Una organización estima 5 intentos de phishing sofisticados (TEF) al año y una vulnerabilidad del 10% (probabilidad de que un empleado caiga). LEF = 5 × 0.1 = 0.5 eventos por año. La PLM se estima entre $150,000 y $700,000. El ALE resultante estaría entre $75,000 y $350,000 anuales por violaciones de datos inducidas por phishing.

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es un estándar de ciberseguridad utilizado para evaluar la gravedad técnica de las vulnerabilidades en sistemas de software. Gestionado por el Forum of Incident Response and Security Teams (FIRST), asigna a cada vulnerabilidad una puntuación numérica entre 0.0 y 10.0, siendo 10 el nivel de gravedad más alto. Utilizar el CVSS proporciona un enfoque cuantitativo para identificar vulnerabilidades críticas y priorizarlas.

Gráfico de barras mostrando la distribución de puntuaciones CVSS por bandas de gravedad

Métricas del CVSS

Las puntuaciones CVSS se calculan utilizando una combinación de métricas de explotabilidad e impacto, agrupadas en tres categorías principales:

  1. Métricas Base: Representan las cualidades intrínsecas de una vulnerabilidad que son consistentes a lo largo del tiempo y en diferentes entornos de usuario.
    • Vector de ataque (AV): Cómo se explota la vulnerabilidad (ej., red, local, física). Las fallas remotas (AV:N) obtienen una puntuación más alta.
    • Complejidad del ataque (AC): ¿El exploit requiere configuraciones especiales, tiempos específicos o estados del sistema poco comunes?
    • Privilegios necesarios (PR): ¿Cuánto acceso requiere un atacante antes de poder explotar la vulnerabilidad?
    • Interacción con el usuario (UI): ¿El ataque requiere que el usuario haga clic en un enlace o realice otras acciones?
    • Alcance (S): ¿La vulnerabilidad afecta solo al componente o tiene un impacto más amplio?
    • Impacto (CIA): Mide la pérdida de confidencialidad, integridad y disponibilidad.
  2. Métricas Temporales: Ajustan la puntuación basándose en el panorama actual de exploits, cambiando con el tiempo pero no a través de los entornos de usuario.
    • Madurez del código del exploit: ¿Existe un código del exploit público?
    • Nivel de corrección: ¿Hay algún parche disponible?
    • Informe de confianza: ¿Qué tan bien verificada está la vulnerabilidad?
  3. Métricas Ambientales: Ayudan a modificar las puntuaciones basándose en el entorno específico de la organización.
    • Requisitos de seguridad: ¿Qué importancia tienen la confidencialidad, la integridad y la disponibilidad para su negocio?
    • Métricas básicas modificadas: Se usan cuando los controles o las mitigaciones reducen la gravedad.

Bandas de Gravedad del CVSS

Las puntuaciones CVSS se clasifican en las siguientes bandas de gravedad:

  • None (Ninguna): 0.0
  • Low (Baja): de 0.1 a 3.9
  • Medium (Media): de 4.0 a 6.9
  • High (Alta): de 7.0 a 8.9
  • Critical (Crítica): de 9.0 a 10.0

Utilidad y Limitaciones del CVSS

El CVSS proporciona un lenguaje común para describir la gravedad de las vulnerabilidades y ayuda a los equipos de seguridad a clasificar, priorizar y comunicar los riesgos teóricos. Permite automatizar los umbrales de colocación de parches, establecer acuerdos de nivel de servicio (SLA) y estandarizar informes.

Sin embargo, el CVSS tiene limitaciones significativas: gravedad no es lo mismo que riesgo real. No indica qué es lo que realmente se puede explotar en un entorno específico, no tiene en cuenta el riesgo para el negocio, y en entornos en la nube modernos, puede ser engañoso. No considera errores de configuración específicos de la nube, identidades excesivamente expuestas, accesibilidad de la red, movimiento lateral ni activos efímeros que exponen datos de gran valor temporalmente.

Una vulnerabilidad con una puntuación CVSS alta puede tener un impacto real menor en algunos contextos, y viceversa. Es esencial realizar un análisis adicional considerando el contexto específico, la sensibilidad de los datos y la criticidad de los sistemas.

¿Qué es el CVSS?

Otros Modelos de Puntuación de Vulnerabilidades

Si bien el CVSS es el estándar más reconocido, existen otros sistemas y metodologías que lo complementan o se utilizan en situaciones específicas.

Sistema de Puntuación de la Predicción de Exploit (EPSS)

El EPSS calcula la probabilidad de que un atacante explote una vulnerabilidad en los próximos 30 días, basándose en probabilidades, no en la gravedad. Agrega el comportamiento del atacante y el modelado estadístico, pero no tiene en cuenta el impacto para el negocio ni el contexto ambiental. Se combina con CVSS: CVSS indica la gravedad, EPSS la probabilidad.

Por ejemplo, una vulnerabilidad de 6.8 de CVSS con una probabilidad de EPSS de 94% es probablemente más urgente que una de 9.8 que un atacante nunca explotó.

Vulnerabilidades y Exposiciones Comunes (CVE)

Una CVE es un identificador único para una vulnerabilidad de seguridad conocida. No es una puntuación, sino un sistema de seguimiento y documentación coherente. Ayuda a rastrear una vulnerabilidad específica a lo largo de diferentes herramientas, proveedores y alertas. Funciona emparejando la CVE (qué vulnerabilidad) con la puntuación CVSS (qué tan grave es).

Índice de Riesgos de OWASP

El modelo de OWASP (Open Web Application Security Project) se utiliza principalmente en la seguridad de aplicaciones. Es más manual y subjetivo que CVSS, y evalúa el riesgo desde la perspectiva de las aplicaciones web.

Desafíos en la Implementación de CVSS y Soluciones

La aplicación eficaz del CVSS plantea desafíos, especialmente en grandes empresas con superficies de ataque complejas y múltiples equipos de TI, seguridad y cumplimiento. Algunos problemas comunes y sus soluciones incluyen:

  1. Incoherencias en la puntuación entre herramientas: Diferentes escáneres pueden asignar distintas puntuaciones CVSS. La solución es normalizar la puntuación utilizando una única fuente de confianza (ej., la Base de Datos Nacional de Vulnerabilidades [NVD]) y confirmar las cadenas de vectores.
  2. Dependencia excesiva de CVSS para la priorización: CVSS es una medida de gravedad, no de explotabilidad, accesibilidad o impacto para el negocio. Los equipos que solo parchean vulnerabilidades con puntuaciones altas de CVSS a menudo pasan por alto el riesgo real. Es crucial usar señales de riesgo dinámicas, datos de explotación y criticidad de los activos.
  3. Falta de consideración de métricas ambientales: Muchas organizaciones omiten la personalización de CVSS para adecuarlo a sus propias prioridades de seguridad, lo que lleva a una priorización imprecisa. Se deben implementar políticas de puntuación medioambiental, ajustando la ponderación según la importancia de la confidencialidad, integridad y disponibilidad para el negocio.
  4. Equipos aislados en silos y herramientas fragmentadas: Sin una lógica de puntuación o visibilidad común, los equipos de seguridad, infraestructura y cumplimiento trabajan de forma aislada. La solución es centralizar la visibilidad y combinar CVSS con señales del mundo real, inteligencia de activos y contexto de negocios para crear un modelo de puntuación unificado que priorice lo que realmente importa a la organización.

Por ejemplo, Tenable One mejora CVSS al considerar la probabilidad de explotación, la criticidad de los activos, la identidad, los errores de configuración, el contexto nativo en la nube y la priorización según el impacto para el negocio. Esto permite enfocarse en vulnerabilidades que realmente generan riesgo, reducir la fatiga de alertas y alinear la corrección con los objetivos ejecutivos.

Gestión de Riesgos en Ciberseguridad Industrial (IACS)

Cuando se aplica la evaluación de riesgos cibernéticos industriales, se utiliza una fórmula de riesgo más representativa de esta disciplina. Aunque la mayoría de las organizaciones están de acuerdo en que R (Riesgo) es directamente proporcional a la probabilidad P y directamente proporcional al impacto de la consecuencia, cada una tiene un método diferente para calcularlo. Los métodos para evaluar el riesgo cibernético industrial se pueden clasificar en tres tipos:

Métodos de Evaluación del Riesgo Cibernético Industrial

  1. Métodos Estadísticos o Predictivos:

    La base de cálculo utiliza datos del pasado para intentar predecir el futuro. Requieren la recopilación de datos durante un período determinado, lo cual es difícil y costoso de obtener en muchos países debido a la falta de leyes y regulaciones estrictas. Este enfoque es reactivo: el mercado responde a cada nueva amenaza descubierta. El riesgo aumenta con cada nueva amenaza, y la seguridad se percibe cuando se implementa la protección para esa amenaza. Es una solución de mitigación a corto plazo, una carrera constante contra el tiempo, donde, aunque los buenos suelen ganar, la pérdida de un "sprint" puede llevar a consecuencias no deseadas (como el incidente del oleoducto Colonial). Este es el enfoque típico de TI para prevenir incidentes sin conocimiento de las posibles consecuencias realistas, y requiere un gasto y drenaje presupuestario permanentes.

  2. Métodos de Mitigación de Vulnerabilidades:

    Requieren una evaluación de vulnerabilidades, las cuales se clasifican típicamente en administrativas, cibernéticas (de dispositivos) o físicas/mecánicas. Se asigna una gravedad o puntuación a las vulnerabilidades y se realiza un cálculo para tomar decisiones. Existe la suposición errónea en ciberseguridad industrial de que toda vulnerabilidad esconde un riesgo, lo que puede causar distracciones, priorización incorrecta y un gran gasto presupuestario. Cuantas más vulnerabilidades, mayor riesgo, lo cual no es necesariamente correcto en el ámbito industrial. Este enfoque también es reactivo: primero se descubre la vulnerabilidad (a menudo por hackers éticos) y luego se desarrolla el parche. La seguridad depende de la aplicación del parche, lo que es otra carrera contra el tiempo. La falla no es una opción en muchos procesos industriales, y la aplicación de parches puede ser muy costosa o riesgosa, especialmente cuando proveedores de OT (Tecnologías de Operación) lanzan parches sin las pruebas adecuadas debido a la presión de la industria de TI.

  3. Métodos Basados en Consecuencias:

    Estos métodos evalúan el riesgo sobre una base de cálculo centrada en las consecuencias intolerables para la planta, utilizando la matriz de riesgos y el conocimiento específico de la planta, ya que el encuadre de riesgos difiere entre organizaciones. Se originan en el comité ISA99 (normas ISA/IEC-62443). El cálculo del riesgo depende fundamentalmente de la correcta identificación de las posibles consecuencias realistas en lugar de asumir un riesgo.

    Este método de mitigación de riesgos es a largo plazo y ofrece soluciones duraderas. Ya no depende de la vulnerabilidad o de las nuevas amenazas del momento. Las vulnerabilidades y los nuevos parches deben analizarse con un proceso y no en función de la puntuación otorgada. Se conoce como seguridad por diseño, es más duradero, se puede mantener en el tiempo y, a la larga, requiere un presupuesto más bajo. Se busca un diseño robusto de la planta y del sistema de control en el que las consecuencias no deseadas ya no puedan ocurrir, incluso si finalmente ocurre un incidente cibernético.

    Aquí chocan dos principios: la Seguridad de la Información (TI) y la Seguridad Industrial (IACS). El enfoque de TI pretende resolver la fórmula (R = T x V x I, donde T es la amenaza, V la vulnerabilidad y I el impacto) de izquierda a derecha (previniendo el incidente). ISA/IACS aborda el problema resolviendo la fórmula de derecha a izquierda, centrándose en evitar la consecuencia, ya que un incidente cibernético puede o no terminar en ella, dependiendo del diseño del sistema de control y de la disposición de la planta (conocido como "Comportamiento de las plantas").

    El método más duradero y conveniente para la planta es aquel que cumple con los objetivos y requisitos de la norma ISA/IEC-62443-3-2. Existen varios métodos de evaluación de riesgos que cumplen con estos requisitos, siendo uno de ellos el CPHA o Cyber PHA (Cyber Process Hazardous Analysis).

tags: #calculo #para #sacar #vulnerabilidad

Publicaciones populares:

  • postura en el adulto mayor
  • Descubre los determinantes del éxito escolar en alta vulnerabilidad
  • Requisitos Convenio Tur Bus
  • Información y recuperación de quistectomía ovárica
  • Aventura transformadora para seniors