Priorización y gestión de vulnerabilidades: CVSS, SSVC, EPSS y KEV (3 de...)
Leer Priorización y gestión de vulnerabilidades: CVSS, SSVC, EPSS y KEV
EPSS - Sistema de Puntuación de Predicción de Exploits
El Sistema de Puntuación de Predicción de Exploits (Exploit Prediction Scoring System - EPSS) es una iniciativa basada en datos para estimar la probabilidad de que una vulnerabilidad de software sea explotada en la práctica.
Su objetivo es ayudar a los defensores de la red a priorizar mejor las iniciativas de remediación de vulnerabilidades. Si bien otros estándares de la industria han sido útiles para capturar las características innatas de una vulnerabilidad y proporcionar medidas de gravedad, su capacidad para evaluar la amenaza es limitada.
EPSS cubre esta deficiencia, ya que utiliza información actualizada sobre amenazas de CVE y datos de exploits reales. El modelo EPSS genera una puntuación de probabilidad entre 0 y 1 (0 y 100%). Cuanto mayor sea la puntuación, mayor será la probabilidad de que una vulnerabilidad sea explotada.
¿Cómo funciona el EPSS?
El modelo del EPSS está entrenado para identificar correlaciones y patrones entre los datos de vulnerabilidades y la actividad de explotación observada y proporcionar una estimación diaria de la probabilidad de que se intente explotar una vulnerabilidad en los próximos 30 días.
Esta estimación se basa en un análisis exhaustivo de diversas fuentes de datos, como la lista CVE de MITRE, la National Vulnerability Database, Metasploit y ExploitDB, e informes de proveedores e investigadores, incluidos los socios de datos del EPSS. La información sobre la actividad de explotación, por ejemplo, puede recopilarse continuamente de fuentes como honeypots, sistemas de detección/prevención de intrusiones (IDS/IPS) y métodos de detección basados en hosts. Esta información básica se actualiza diariamente para cada CVE, lo que permite al sistema generar nuevas estimaciones de probabilidad más precisas.
La información sobre vulnerabilidades que utiliza el EPSS incluye detalles cruciales como el proveedor (además de la popularidad del producto afectado), el tiempo transcurrido desde su publicación, las referencias, las debilidades asociadas, las métricas CVSS (un proyecto gestionado también por FIRST), los debates y el código de explotación público (incluida, por ejemplo, la fecha de su incorporación a Metasploit) y la facilidad para obtenerlo.
El rendimiento del sistema se evalúa repetidamente y se realizan ajustes en los parámetros o en los valores de las variables para maximizar su capacidad de predicción y garantizar su precisión y eficacia.
Para evaluar su poder predictivo, el EPSS se entrena con 12 meses de datos históricos. A continuación, para simular la predicción del futuro, el modelo se pone a prueba en relación con los dos meses inmediatamente posteriores a ese periodo de entrenamiento (también datos históricos). Como el modelo no ha visto estos datos "futuros", los investigadores pueden ver con qué precisión anticipa la actividad de explotación en el "mundo real". Este proceso les permite probar diferentes versiones del modelo y fuentes de datos, garantizando que las predicciones del EPSS sean lo más fiables posible.
Además de proporcionar probabilidades de que se exploten vulnerabilidades específicas, el EPSS también ofrece clasificaciones por percentiles. Los percentiles permiten ordenar las probabilidades y comunicar su importancia relativa. Como Romanosky y Jacobs afirman en un post para FIRST, el percentil es la proporción de todos los valores menores o iguales al rango actual. Por lo tanto, por ejemplo, si una vulnerabilidad con una puntuación EPSS de 0,15 (o 15%) está en el percentil 89, esto significa que el 89% de todos los CVEs puntuados tienen una puntuación EPSS igual o inferior a 0,15 (o que esta vulnerabilidad está en el 11% superior).
Así pues, aunque una probabilidad del 15% puede no parecer excepcionalmente alta de forma aislada, la clasificación por percentiles revela que, en relación con todas las demás vulnerabilidades puntuadas globalmente, se encuentra entre las que tienen las puntuaciones más altas. Esto proporciona una perspectiva diferente a la que se obtiene simplemente observando la probabilidad del 15% por sí sola, lo que ayuda aún más en el proceso de priorización.
Diferencias y correlación entre EPSS y CVSS
Tanto EPSS como el Common Vulnerability Scoring System (CVSS) son valiosas herramientas de acceso público para priorizar la remediación de vulnerabilidades. Estas métricas, desarrolladas y mantenidas gracias a los esfuerzos de colaboración de individuos que van desde investigadores hasta personal gubernamental, proporcionan información crucial sin costo alguno. Sin embargo, su enfoque difiere significativamente: El CVSS cuantifica principalmente la severidad de una vulnerabilidad basándose en sus propiedades intrínsecas, mientras que el EPSS estima la probabilidad de que sea explotada por los atacantes maliciosos, proporcionando así una medida más cercana al panorama de amenazas.
CVSS hace hincapié en las características fundamentales y relativamente estáticas de las vulnerabilidades, como la complejidad del ataque, la disponibilidad del exploit y el impacto potencial. Aunque CVSS incorpora factores temporales y ambientales en su puntuación global, las organizaciones suelen confiar únicamente en la "puntuación Base" debido a las dificultades para evaluar con precisión estas variables dinámicas. Sin embargo, esta puntuación base puede no reflejar plenamente los riesgos reales.
Por el contrario, el EPSS, aunque valioso, tiene sus propias limitaciones. No tiene en cuenta los factores ambientales, los controles de seguridad específicos ni el impacto potencial en los activos exclusivos de una organización. Como subraya FIRST, el EPSS nunca debe tratarse como una puntuación de riesgo. Además, sus resultados dependen de la exactitud e integridad de las fuentes de datos subyacentes y, por supuesto, proporciona una estimación probabilística, no una garantía de (no) explotación. Por último, funciona exclusivamente con vulnerabilidades a las que se han asignado identificadores CVE públicos.

Aunque tanto el EPSS como el CVSS pueden contribuir por separado a la gestión de vulnerabilidades, se utilizan mejor como métricas complementarias. La combinación de la información de ambos puede mejorar significativamente la priorización de vulnerabilidades.
Desempeño del modelo EPSS
Para evaluar el rendimiento del modelo EPSS a la hora de contribuir a la priorización de vulnerabilidades, los investigadores emplean varias métricas de análisis clave. Las primeras métricas categorizan las vulnerabilidades en función de su priorización y estado de explotación utilizando las siguientes definiciones:
- Verdaderos positivos (TP): Vulnerabilidades priorizadas "correctamente" porque fueron explotadas.
- Falsos positivos (FP): Vulnerabilidades priorizadas "incorrectamente" porque no fueron explotadas.
- Falsos negativos (FN): Vulnerabilidades "incorrectamente" retrasadas (no priorizadas) porque fueron explotadas.
- Verdaderos negativos (TN): Vulnerabilidades "correctamente" retrasadas (no priorizadas) porque no fueron explotadas.
A partir de estas categorías, se determinan tres métricas cruciales: esfuerzo, eficiencia y cobertura (las dos últimas son análogas a la precisión y la recuperación, respectivamente, en los F-scores).
El esfuerzo mide la proporción de vulnerabilidades priorizadas. La eficiencia evalúa qué tan bien se utilizaron los recursos midiendo el porcentaje de vulnerabilidades priorizadas que fueron realmente explotadas. Esto se calcula como:
Eficiencia = TP / (TP + FP)
Por ejemplo, podrías tener una eficiencia del 100% si todas tus vulnerabilidades priorizadas estuvieran dentro del conjunto de vulnerabilidades explotadas.
La cobertura considera el porcentaje de vulnerabilidades explotadas a las que se dio prioridad. Esto se calcula como:
Cobertura = TP / (TP + FN)
Siguiendo el ejemplo anterior con una eficiencia del 100%, si el conjunto de vulnerabilidades explotadas fuera mucho mayor que el conjunto de vulnerabilidades priorizadas, la cobertura sería baja. Lo ideal sería que ambos conjuntos tuvieran un solapamiento exacto.
Una mayor cobertura implica un mayor esfuerzo y suele traducirse en una menor eficiencia. Mejorar la eficiencia disminuiría el esfuerzo, pero suele representar una menor cobertura. El objetivo siempre es encontrar una estrategia de priorización mejorada.
Leer Priorización y gestión de vulnerabilidades: CVSS, SSVC, EPSS y KEV


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!