Clasificación y Gestión de la Gravedad de las Vulnerabilidades: Un Enfoque Integral

By /

En el panorama actual de la ciberseguridad, donde se notifican decenas de miles de vulnerabilidades al año, la capacidad de identificar, clasificar y priorizar las amenazas es fundamental para cualquier organización. El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) emerge como una herramienta estandarizada y crucial para evaluar la gravedad técnica de las vulnerabilidades de seguridad, permitiendo a los profesionales comparar y priorizar sus respuestas a posibles amenazas.

Infografía: relación entre CVSS, CVE y NVD

¿Qué es el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)?

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es un marco utilizado a escala mundial para evaluar y comunicar la gravedad de las vulnerabilidades de seguridad. Esta normalización es valiosa porque permite una clasificación común de las vulnerabilidades en distintos sistemas y organizaciones. El CVSS pertenece y está gestionado por el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST), una asociación global de entidades cuyo objetivo es proporcionar mecanismos de buenas prácticas, herramientas y elementos para la comunicación, clasificación y respuesta a incidentes de seguridad.

Origen y Evolución del CVSS

La primera versión del CVSS comenzó como un proyecto del National Infrastructure Advisory Council (NIAC) en 2005. El CVSS v3.1 ha estado en uso desde 2019, y el CVSS v4 se publicó oficialmente en noviembre de 2023, abordando varias lagunas de las versiones anteriores y proporcionando más utilidad al sistema de puntuación.

Relación con CVE y NVD

El CVSS no existe de forma aislada, sino que se interrelaciona con otras bases de datos clave en el proceso de identificación y gestión de los riesgos de ciberseguridad:

  • Vulnerabilidades y Exposiciones Comunes (CVE): Se trata de una base de datos de vulnerabilidades de seguridad conocidas gestionada por MITRE Corporation. Cada vulnerabilidad incluida en la base de datos de CVE recibe un identificador único (por ejemplo, CVE-2014-0160), lo que facilita el intercambio de información sobre vulnerabilidades concretas. Es un glosario o lista de fallas de seguridad conocidas públicamente.
  • Base de Datos Nacional de Vulnerabilidades (NVD): Esta base de datos del gobierno estadounidense incluye todas las vulnerabilidades que figuran en la base de datos de CVE. La NVD enriquece esta información con análisis y contexto adicionales, incluyendo la puntuación base del CVSS para cada CVE enumerada.

Mientras que CVE identifica cada vulnerabilidad y proporciona un medio para distinguirla de las demás, CVSS proporciona a los equipos de TI un medio para clasificar la gravedad de cada vulnerabilidad.

Métricas del CVSS: Base, Temporal y Ambiental

El marco CVSS consta de tres grupos de métricas distintos: base, temporales y del entorno. Estos grupos ayudan a categorizar diferentes aspectos de una vulnerabilidad para una mayor claridad en la evaluación de la gravedad, y cada uno desempeña un papel único a la hora de determinar la puntuación global de una vulnerabilidad.

Métricas Base

Las métricas del grupo base evalúan las "cualidades intrínsecas de una vulnerabilidad que son constantes a lo largo del tiempo y en todos los entornos de usuario". Esta puntuación base no cambia con el tiempo y funciona como una instantánea de la gravedad de la vulnerabilidad desde el principio. Los componentes de la puntuación base son los únicos requeridos para clasificar una vulnerabilidad dentro del sistema CVSS.

Las métricas principales de este grupo incluyen:

  • Vector de Ataque (AV): Describe cómo un atacante puede explotar la vulnerabilidad (red, local, física). Las fallas remotas (AV:N) obtienen una puntuación más alta.
  • Complejidad del Ataque (AC): Indica la dificultad de ejecutar el ataque, considerando si requiere configuraciones especiales, tiempos específicos o estados del sistema poco comunes.
  • Privilegios Requeridos (PR): Mide cuánto acceso requiere un atacante antes de poder explotar la vulnerabilidad.
  • Interacción con el Usuario (UI): Determina si el ataque requiere que el usuario realice alguna acción (hacer clic en un enlace, abrir un archivo, etc.).
  • Alcance (S): Evalúa si la vulnerabilidad afecta solo al componente vulnerable o tiene un impacto más amplio en otros componentes.
  • Impacto (Confidencialidad, Integridad, Disponibilidad - CIA): Mide la pérdida potencial en cada uno de estos pilares de la seguridad.

Métricas Temporales

Estas métricas se centran en lo que cambia con la vulnerabilidad a lo largo del tiempo. A medida que llega nueva información y cambian las condiciones, las métricas temporales pueden subir o bajar, ajustando la gravedad básica de una vulnerabilidad. Miden el estado actual de las técnicas de explotación, así como la existencia de parches o soluciones o la confianza en la descripción de una vulnerabilidad.

Ejemplos de métricas temporales:

  • Madurez del código del exploit: ¿Existe un código de explotación público o una prueba de concepto? La publicación de un kit de explotación fácil de usar aumentaría la puntuación CVSS.
  • Nivel de corrección: ¿Hay algún parche o solución disponible? Un parche oficial reduciría la puntuación.
  • Informe de confianza: ¿Qué tan bien verificada está la vulnerabilidad?

Métricas Ambientales

Las métricas del grupo del entorno se centran en las características específicas del entorno de un usuario que podrían afectar al impacto de la vulnerabilidad. Permiten a los analistas personalizar la puntuación CVSS en función de la importancia del activo tecnológico afectado para la organización. Tienen en cuenta factores como la pérdida potencial para una organización o la prevalencia de un sistema vulnerable.

Ejemplos incluyen:

  • Requisitos de seguridad: Qué importancia tienen la confidencialidad, la integridad y la disponibilidad para el negocio. Por ejemplo, si la disponibilidad es crítica para la misión, el analista puede asignar un valor más alto a la Disponibilidad.
  • Métricas básicas modificadas: Permiten ajustar la puntuación base si los controles o mitigaciones existentes en el entorno reducen o aumentan la gravedad de la vulnerabilidad.

Comprender estos grupos métricos es clave para evaluar con precisión la gravedad de las vulnerabilidades para un entorno determinado. Se recomienda que los usuarios de CVSS complementen la puntuación base con puntuaciones temporales y ambientales específicas del uso del producto vulnerable para obtener una gravedad más precisa en su entorno como organización.

Entendiendo el CVSS

Escala y Niveles de Gravedad del CVSS

La escala de puntuación del CVSS va de 0 a 10.0. Una puntuación más alta indica una vulnerabilidad más grave que exige atención inmediata, y una puntuación más baja sugiere un problema menos crítico. Estas puntuaciones se clasifican en bandas de gravedad:

Puntuación CVSS Nivel de Gravedad
9,0 - 10,0 Crítico
7,0 - 8,9 Alto
4,0 - 6,9 Medio
0,1 - 3,9 Bajo
0,0 Ninguno

Ejemplos de Vulnerabilidades por Nivel de Gravedad

Nivel de gravedad: Crítico

Las vulnerabilidades que alcanzan un nivel crítico suelen tener la mayoría de las siguientes características:

  • Es probable que la explotación provoque un acceso no autorizado a nivel de administrador a las aplicaciones web, un acceso total a los datos de aplicaciones o usuarios o un compromiso a nivel raíz de los servidores o dispositivos de infraestructura.
  • La explotación suele ser sencilla, en el sentido de que el atacante no necesita credenciales especiales de autenticación ni conocimientos sobre las víctimas y tampoco tiene que persuadir a ningún usuario objetivo (por ejemplo, mediante la ingeniería social) para que realice ninguna función especial.
  • Se propagan sin que sea necesaria la participación de los usuarios.

En el caso de las vulnerabilidades críticas, se aconseja aplicar un parche o actualización lo antes posible, a menos que se hayan implementado otras medidas de mitigación. Por ejemplo, un factor atenuante podría ser que no pueda accederse a la instalación desde Internet.

Nivel de gravedad: Alto

Las vulnerabilidades que alcanzan un nivel alto suelen tener algunas de las siguientes características:

  • La vulnerabilidad es difícil de explotar.
  • La explotación podría dar lugar a privilegios elevados.
  • La explotación podría dar lugar a una pérdida de datos o un tiempo de inactividad significativos.
  • Con este tipo de vulnerabilidad comienza el peligro real para las empresas, pues pueden poner en riesgo la confidencialidad, integridad y disponibilidad de los sistemas de información.

Nivel de gravedad: Medio

Las vulnerabilidades que alcanzan un nivel medio suelen tener algunas de las siguientes características:

  • Vulnerabilidades que requieren que el atacante manipule a las víctimas mediante tácticas de ingeniería social.
  • Vulnerabilidades de denegación de servicio que son difíciles de preparar.
  • Explotaciones que requieren que el atacante se encuentre en la misma red local que la víctima.
  • Vulnerabilidades en las que la explotación solo proporciona un acceso muy limitado.
  • Vulnerabilidades para las que se requieren privilegios de usuario.
  • Aunque son fáciles de resolver, pueden representar un mayor riesgo de seguridad a diferencia de las de nivel bajo.
  • Las consecuencias que pueda traer este tipo de vulnerabilidad a una empresa pueden ser reducidas de manera sencilla con el apoyo de herramientas o configuraciones previas.

Nivel de gravedad: Bajo

Las vulnerabilidades de nivel bajo suelen afectar muy poco al negocio de una organización.

  • La explotación de esas vulnerabilidades suele requerir un acceso local o físico al sistema.
  • Las vulnerabilidades que se encuentren en código de terceros y a las que no se pueda acceder desde el código de Atlassian se pueden reducir a una gravedad baja.
  • Este tipo de vulnerabilidad no representa un riesgo de seguridad para las empresas, ya que no se convierte en una puerta de entrada para los atacantes cibernéticos.

Es importante recordar que esta clasificación no tiene en cuenta los detalles de cada instalación y solo debe utilizarse como guía.

Factores Adicionales en la Determinación de la Gravedad

Aunque el CVSS es un método estándar, algunas organizaciones como Atlassian y Red Hat pueden utilizar factores adicionales no relacionados con la puntuación CVSS para determinar el nivel de gravedad de una vulnerabilidad. Este enfoque es compatible con la especificación CVSS. Dichos factores pueden incluir:

  • Número de clientes en una línea de productos.
  • Pérdidas monetarias debido a un incumplimiento.
  • Amenazas que pongan en riesgo la vida o la propiedad.
  • Sentimiento público sobre vulnerabilidades muy conocidas.

En los casos en que se adopte este enfoque, las organizaciones describen los factores adicionales que se han tenido en cuenta y por qué al divulgar públicamente información sobre la vulnerabilidad.

Red Hat, por ejemplo, ha adoptado el estándar CVSS v3 desde 2016 y clasifica el impacto de los problemas de seguridad en una escala de cuatro puntos: Bajo, Moderado, Importante y Crítico. Además, si una tecnología habilitada bloquea por completo el aprovechamiento de una vulnerabilidad, ajustan el nivel de gravedad. También advierten que la puntuación base de CVSS puede variar significativamente entre productos, versiones y arquitecturas, por lo que recomiendan utilizar la puntuación proporcionada por ellos mismos siempre que sea posible.

CVSSv3.1 vs. CVSSv4.0: Evolución y Mejoras

La versión 3.1 del CVSS presentaba varias lagunas que debían solucionarse para proporcionar más utilidad al sistema de puntuación. La versión 4.0, publicada en noviembre de 2023, ha abordado dichos problemas, aunque aún hay que mejorar la comprensión del riesgo.

Impacto en Sistemas Indirectamente Afectados

La mejora más notable en CVSSv4 es la adición de un conjunto de métricas para el impacto en sistemas afectados indirectamente. CVSSv3.1 no tenía en cuenta este aspecto. Los sistemas afectados indirectamente son cualquier sistema que pueda verse afectado por el exploit de una vulnerabilidad, aunque no sea el propio sistema vulnerable.

Por ejemplo, en una vulnerabilidad de scripts entre sitios (XSS) en un servidor web, un sistema afectado indirectamente podría ser el equipo de los usuarios y su navegador web. Un aprovechamiento exitoso podría permitir a un ciberdelincuente obtener acceso a información contenida en el sistema de los usuarios o incluso ejecutar comandos en él. Dada esta nueva métrica, la vulnerabilidad de este ejemplo debería recibir una puntuación más alta que otra vulnerabilidad sin un impacto posterior en el sistema.

Métricas Complementarias (No Puntuables)

CVSSv4 también ha añadido métricas complementarias no puntuables. Se trata de datos adicionales informativos y útiles para comprender cómo el impacto potencial se relaciona con el entorno propio, incluyendo métricas como "Automatizable", "Esfuerzo de respuesta a la vulnerabilidad" y "Urgencia del proveedor". Estas métricas se incluyen a modo informativo y no afectan a la puntuación general de una vulnerabilidad para evitar incentivos a manipular el sistema. Su objetivo es ayudar a los usuarios finales a comprender mejor qué otros factores pueden ser relevantes para su entorno.

Ventajas de CVSSv4

La principal ventaja de CVSSv4 es que la ampliación de las métricas relativas al impacto en un entorno, los sistemas afectados indirectamente y la información para ayudar en la mitigación proporciona más detalles en la puntuación de una vulnerabilidad concreta. Gran parte de la comunidad de gestión de vulnerabilidades ha acogido con satisfacción todas estas novedades.

Fuentes de Identificación de Vulnerabilidades

Las vulnerabilidades pueden ser detectadas y notificadas a través de diversas fuentes, lo que contribuye a un ecosistema de seguridad más robusto:

  • Tickets de analizadores de seguridad: Como los presentados por herramientas como Tenable y Snyk.
  • Hallazgos de programas de recompensas por errores (Bug Bounty): Encontrados por investigadores de seguridad a través de plataformas como Bugcrowd.
  • Vulnerabilidades de seguridad notificadas por equipos de seguridad internos: Como parte de las revisiones o las pruebas de penetración.
  • Vulnerabilidades de seguridad notificadas por terceros: Por ejemplo, por Atlassians o por los clientes de Atlassian.

Más allá del CVSS: Priorización y Gestión del Riesgo

Aunque el CVSS es una herramienta fundamental, por sí solo no proporciona una imagen completa del riesgo que supone una vulnerabilidad para una organización. El CVSS le ofrece un método estándar para medir la gravedad de las vulnerabilidades, pero no muestra lo que representa un riesgo real en un entorno específico.

Limitaciones del CVSS

El CVSS evalúa la gravedad técnica de una vulnerabilidad, pero no considera el riesgo para el negocio ni los detalles del entorno de TI de una organización. No indica qué es lo que realmente se puede explotar en un entorno. Las puntuaciones CVSS estáticas no consideran:

  • Todos los entornos de la misma manera.
  • Qué sistemas están orientados al público.
  • Si los atacantes explotan activamente una vulnerabilidad.
  • El valor de los activos, los niveles de privilegios y las rutas de ataque.
  • Errores de configuración específicos de la nube.
  • Identidades excesivamente expuestas.
  • Accesibilidad de la red y movimiento lateral.
  • Activos efímeros que exponen temporalmente datos de gran valor.

La Necesidad de Contexto Ambiental y de Negocio

Con cifras alarmantes de nuevas vulnerabilidades (más de 25.000 CVE al año), es imposible abordarlas todas. Es crucial enfocarse en lo que más importa. Este es el motivo por el que son importantes herramientas que añaden perspectiva a la gestión de vulnerabilidades, proporcionando información rápida, precisa y procesable.

Una puntuación del CVSS por sí sola debe ir acompañada de inteligencia sobre amenazas y contexto. Se recomienda que en la priorización participen personas con conocimientos de los riesgos de ciberseguridad, de negocio y de la gestión de activos de TI. Incluso con una puntuación CVSSv4, puede haber datos del entorno de los propios sistemas que hagan considerar el impacto de forma diferente entre dos vulnerabilidades con puntuaciones similares.

Modelos Complementarios de Priorización

Para ir más allá de la gravedad técnica, las organizaciones recurren a modelos complementarios:

  • Sistema de Puntuación de la Predicción de Exploit (EPSS): Calcula la probabilidad de que un atacante explote una vulnerabilidad en los próximos 30 días, basándose en el comportamiento del atacante y el modelado estadístico. Complementa el CVSS indicando la probabilidad junto con la gravedad.
  • VPR (Vulnerability Priority Rating) de Tenable: Utiliza el CVSS como referencia y le incorpora datos de explotabilidad en tiempo real, inteligencia de amenazas, correlación del comportamiento de los atacantes, y criticidad de los activos basada en su importancia para el negocio. También considera rutas de exposición, incluyendo el uso indebido de identidades y el riesgo de configuración en la nube.
  • Índice de Riesgos de OWASP: Principalmente utilizado en la seguridad de aplicaciones, es un modelo más manual y subjetivo.

Empresas como CrowdStrike recomiendan su modelo ExPRT.AI, que predice la probabilidad de aprovechamiento de una vulnerabilidad basándose en datos de inteligencia sobre el adversario, independientemente de los informes del proveedor.

Gestión de la Exposición

La gestión de exposición va más allá de la puntuación de vulnerabilidades al examinar todos los riesgos evitables (vulnerabilidades, errores de configuración, permisos excesivos) en conjunto. Su objetivo es identificar las rutas de ataque que los agentes maliciosos podrían explotar para causar el mayor daño (interrupción del negocio, filtración de datos) y reducir las condiciones que debilitan la postura de seguridad. Herramientas como Tenable Cloud Security integran la puntuación CVSS con la postura de la nube en tiempo real, lo que permite ver vulnerabilidades con exposiciones externas, comprender qué identidades pueden acceder a ellas y detectar riesgos en cadena.

Desafíos en la Implementación de CVSS y Soluciones

Aunque muchas organizaciones utilizan CVSS, su aplicación eficaz plantea desafíos comunes:

  1. Incoherencias en la puntuación entre herramientas: Diferentes escáneres pueden asignar distintas puntuaciones CVSS.
    • Solución: Normalizar la puntuación utilizando una única fuente de confianza (NVD) y confirmar las cadenas de vectores.
  2. Dependencia excesiva de CVSS para la priorización: CVSS mide la gravedad, no la explotabilidad, accesibilidad ni impacto para el negocio.
    • Solución: Utilizar señales de riesgo dinámicas (como VPR) y combinar CVSS con la probabilidad y el contexto de exposición.
  3. Falta de consideración de métricas ambientales: Muchas organizaciones omiten la personalización de CVSS para sus prioridades.
    • Solución: Implementar políticas de puntuación medioambiental y automatizar los ajustes.
  4. Equipos aislados en silos y herramientas fragmentadas: Falta de una lógica de puntuación o visibilidad común.
    • Solución: Centralizar la visibilidad con plataformas que integren CVSS con señales de exposición en la nube, rutas de identidad y riesgo de movimiento lateral.

Cronograma de Corrección de Vulnerabilidades

Las organizaciones suelen establecer objetivos de nivel de servicio (SLA) para corregir las vulnerabilidades de seguridad en función del nivel de gravedad y del producto afectado. Por ejemplo, Atlassian define plazos de resolución basados en su política de corrección de errores de seguridad, con distinciones entre productos basados en la nube y autogestionados.

Plazos de Resolución de Atlassian

Nivel de Gravedad Plazos de Resolución Acelerados (Cloud/Jira Align/Sistemas gestionados por Atlassian) Plazos de Resolución Ampliados (Productos autogestionados)
Crítico En un plazo de 10 días tras la verificación En un plazo de 90 días tras la verificación
Alto En un plazo de 4 semanas tras la verificación En un plazo de 90 días tras la verificación
Medio En un plazo de 12 semanas tras la verificación En un plazo de 90 días tras la verificación
Bajo En un plazo de 25 semanas tras la verificación En un plazo de 180 días tras la verificación

Proceso de Gestión y Clasificación Interna de Vulnerabilidades

La gestión de vulnerabilidades comienza con la identificación, pero no termina ahí. Una vez que una herramienta de escaneo descubre una vulnerabilidad, se necesita una forma de evaluarla y priorizarla para responder eficazmente.

Clasificación Interna

Se deben clasificar las vulnerabilidades encontradas en tres categorías principales para una gestión efectiva:

  • Corregir: Aquellas para las cuales es necesario aplicar un parche, una reconfiguración o una mitigación. Se debe dar prioridad a estas correcciones y otorgarles una fecha límite para su implementación. Se recomienda no ignorar los problemas marcados como “Críticos” o “Altos”.
  • Reconocer: Vulnerabilidades que se decide no corregir de inmediato. Deben registrarse las razones válidas para esta decisión, junto con una fecha de revisión. Si el nivel de riesgo es suficientemente alto, debe registrarse el problema en una bitácora de riesgos, con una justificación clara que respalde la decisión en caso de una futura explotación.
  • Investigar: Utilizadas como un estado temporal mientras no puedan ser categorizadas como “corregir” o “reconocer”. Esto puede deberse a que se desconoce el costo de resolver el problema o que hay varias soluciones posibles y se requiere más tiempo para identificar la mejor.

Consideraciones Adicionales

El software de evaluación de vulnerabilidades no es infalible y pueden producirse falsos positivos. Cuando se sospeche de un caso, se recomienda realizar una investigación antes de eliminar el problema. La primera vez que se ejecuta un análisis a un sistema, pueden surgir muchas vulnerabilidades; es crucial dedicar tiempo a evaluarlas, basándose en toda la información disponible.

En resumen, la familiaridad con el CVSS proporciona a los profesionales de la seguridad una base para priorizar y abordar eficazmente las vulnerabilidades de seguridad. Sin embargo, este conocimiento es vital, pero debe ir acompañado de inteligencia sobre amenazas y contexto específico de la organización para una gestión de riesgos verdaderamente integral y efectiva.

tags: #gravedad #de #las #vulnerabilidades

Publicaciones populares:

  • renovación en Sename Coquimbo
  • Cómo caminar mejora la salud en la tercera edad
  • Conoce el compromiso de Ripley con la integración en el ámbito laboral
  • Legislación sobre discapacidad
  • Educación para Personas en Situación de Discapacidad