Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (1 de...)
Introducción
Toda organización que gestiona software y hardware convive con un flujo constante de vulnerabilidades. Como los recursos de remediación son limitados y las amenazas cambian de forma dinámica, el problema central no es solo detectar debilidades, sino decidir cuáles atender primero. Para ello conviene separar las actividades: identificar una vulnerabilidad, evaluarla, categorizarla, gestionarla y solucionarla (si corresponde).
El identificador CVE (Common Vulnerabilities and Exposures) actúa como el «nombre» único de cada vulnerabilidad pública, mientras que sistemas como CVSS, EPSS y SSVC aportan los criterios para priorizarla.
CVSS (Common Vulnerability Scoring System), mantenido por FIRST, responde a la pregunta «¿qué tan grave es?». Asigna una puntuación de 0 a 10 a partir de las características intrínsecas de la vulnerabilidad —cómo se explota y qué impacto tiene sobre la confidencialidad, la integridad y la disponibilidad—. Es una medida de severidad técnica, no de riesgo.
EPSS (Exploit Prediction Scoring System), también gestionado por FIRST, responde a «¿qué tan probable es que se explote?». Es un modelo basado en datos que estima, entre 0 y 1 (0% a 100%), la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, incorporando inteligencia de amenazas y evidencia de explotación real. Tampoco debe interpretarse como una puntuación de riesgo.
SSVC (Stakeholder-Specific Vulnerability Categorization), creado por el SEI de la Universidad Carnegie Mellon —CISA desarrolló después su propio árbol de decisión—, responde a «¿qué debo hacer y con qué urgencia?». En lugar de un número, emplea árboles de decisión que combinan el contexto —estado de explotación, impacto técnico, criticidad de la misión— para recomendar una acción operativa concreta.
Los tres sistemas son complementarios, no intercambiables: miden dimensiones distintas (severidad, probabilidad y decisión operativa). Combinarlos permite pasar de una priorización reactiva, basada solo en la gravedad, a un enfoque basado en el riesgo real del entorno. Este documento describe cada sistema en detalle y, al final, propone una forma práctica de usarlos en conjunto.
A estos tres se suma el catálogo KEV (Known ExploitedVulnerabilities) de CISA, que no puntúa ni decide, sino que enumera las vulnerabilidades para las que existe evidencia confirmada de explotación activa en el mundo real. Actúa como una señal binaria de máxima prioridad: si un CVE figura en el KEV, su explotación deja de ser una probabilidad y pasa a ser un hecho, por lo que debe remediarse de forma inmediata con independencia de su puntuación CVSS o EPSS.
En la seguridad de la información, una vulnerabilidad se define como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad.
En este sentido, la seguridad se enfoca en reducir los riesgos a un nivel que resulte aceptable, razón por la cual una de las actividades a las que se recurre con frecuencia consiste en identificar y evaluar debilidades asociadas a las plataformas de software y hardware, con la intención de evitar la materialización de eventos indeseados e inesperados.
En un ambiente donde los riesgos se encuentran en constante cambio, las amenazas son dinámicas y los recursos son limitados, resulta fundamental priorizar la aplicación de medidas de seguridad, luego de identificar las vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y los criterios que permitan transformar los datos obtenidos en información.
Un elemento que aborda esta problemática y que ha sido adoptado por una cantidad importante de organizaciones y compañías enfocadas en seguridad, es CVE, por sus siglas en inglés Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones comunes). Es un identificador único para cada vulnerabilidad pública, funciona como un "DNI de vulnerabilidades".
El CVSS, por sus siglas en inglés Common Vulnerability Scoring System (Sistema común de puntuación de vulnerabilidades), evalúa y califica estas vulnerabilidades.
Las especificaciones CVSS son propiedad de FIRST, una organización sin fines de lucro con sede en EE.UU. cuya misión es ayudar a los equipos de respuesta a incidentes de seguridad informática de todo el mundo.
¿Qué es el CVSS?
En resumen, es un marco muy utilizado para clasificar y calificar las vulnerabilidades de software. A través de este marco abierto, las organizaciones pueden calcular una puntuación CVSS, que es una puntuación numérica que representa la gravedad de una vulnerabilidad. Las características de una vulnerabilidad que han contribuido a la puntuación CVSS se representan en una cadena de texto conocida como cadena de vectores CVSS.
El CVSS NO es una medida de riesgo. Es un método utilizado para proporcionar una medida cualitativa de la gravedad.
¿Cómo se calcula el impacto con CVSS?
Para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La clasificación cualitativa depende de la versión de CVSS. En CVSS v2.0 se emplean tres niveles: baja (0.0–3.9), media (4.0–6.9) y alta (7.0–10.0). En CVSS v3.x y v4.0 —las versiones vigentes— la escala tiene cinco niveles: Ninguna (0.0), Baja (0.1–3.9), Media (4.0–6.9), Alta (7.0–8.9) y Crítica (9.0–10.0).
Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas:
- Las métricas base representan las características intrínsecas a la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. En CVSS v3.x incluyen el vector de ataque, la complejidad del ataque, los privilegios requeridos, la interacción del usuario y el alcance (las versiones v2.0 usaban vector de acceso, complejidad de acceso y autenticación), de manera que permiten definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada. Las métricas de impacto miden la manera en la que una vulnerabilidad, si se explota, afecta de forma directa a los activos de TI. Los impactos se determinan de manera independiente, como el grado de pérdida de confidencialidad, integridad y disponibilidad, ya que una vulnerabilidad podría causar pérdida parcial de integridad y disponibilidad, pero tal vez no afecte la confidencialidad.
- El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo, pero que son constantes en el ambiente de un usuario. Debido a que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo del tiempo, se consideran tres factores que influyen en ello: la madurez del código de explotación (explotabilidad), es decir, la disponibilidad de código o técnicas que permitan la explotación; el nivel de remediación disponible; y el nivel de confianza en el reporte, que refleja la credibilidad de la existencia de la vulnerabilidad y de sus detalles técnicos. Estas métricas son opcionales e incluyen un valor que no afecta a la evaluación cuando un usuario cree que la métrica en particular no existe y quiere omitirla.
- Las métricas de entorno corresponden al tercer grupo y representan las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular. Se definen debido a los distintos ambientes que pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. Este grupo de métricas se enfoca en las características de una vulnerabilidad asociadas al entorno del usuario. En CVSS v3.x y v4.0 se componen de las métricas base modificadas, que permiten reajustar cualquier métrica base según el entorno concreto, y los requisitos de seguridad de confidencialidad, integridad y disponibilidad (CR, IR y AR). El daño potencial colateral y la distribución de objetivos que definía CVSS v2.0 se eliminaron a partir de la versión 3.0. Al igual que las métricas temporales, son opcionales y cada una tiene un valor sin efecto en la evaluación, el cual es utilizado cuando un usuario considera que la métrica en particular no existe y la omite.
Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y crea una cadena de texto (vector) con dichos valores asignados, que es utilizada para comunicar la forma en que se generó cada puntuación de la respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto a la calificación de la vulnerabilidad.
De manera general, el grupo de métricas base pretende definir y comunicar las características fundamentales de una vulnerabilidad, para otorgar a los usuarios una clara e intuitiva representación de una vulnerabilidad.
Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas cuando se trata de mitigar los riesgos derivados de las vulnerabilidades. Para poner en práctica el método descrito, los usuarios pueden hacer uso de la calculadora CVSS v4.0. Cabe señalar que la calculadora y las evaluaciones del CVSS v2.0 fueron retiradas del NVD y ya no se aplican a los CVE publicados recientemente, por lo que debe emplearse una versión vigente (v4.0 o v3.1).
Versiones de CVSS, y su compatibilidad con el NVD
El CVSS v2.0 y el CVSS v3.x constan de tres grupos de métricas: Base, Temporal y Ambiental. El CVSS v4.0 es ligeramente diferente y consta de los grupos de métricas Base, Amenaza, Ambiental y Suplementaria.
La Base de Datos Nacional de Vulnerabilidades (NVD) proporciona enriquecimiento del CVSS para todos los registros de CVE publicados.
El NVD (National Vulnerability Database) es compatible con los estándares del Sistema Común de Puntuación de Vulnerabilidades (CVSS) v2.0, v3.x y v4.0. Sin embargo, según el anuncio de retirada del CVSS v2.0 del NVD , ya no ofrece evaluaciones del CVSS v2.0 para los registros CVE recién publicados.
El NVD proporciona evaluaciones del CVSS de las métricas base, las características innatas de cada vulnerabilidad. Actualmente, el NVD no ofrece evaluaciones de métricas temporales o de amenaza (métricas que cambian con el tiempo debido a eventos externos a la vulnerabilidad), métricas ambientales (métricas personalizadas para reflejar el impacto de la vulnerabilidad en una organización específica) ni métricas complementarias (métricas utilizadas para proporcionar contexto adicional).
No obstante, el NVD proporciona una calculadora del CVSS para cada versión del CVSS que permite a los usuarios evaluar métricas no base.
¿Se puede utilizar CVSS para evaluar las vulnerabilidades relacionadas con la IA?
CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de ciberseguridad que a menudo se descubren en aplicaciones de IA, incluido el envenenamiento de modelos, la denegación del servicio o la divulgación de información. Sin embargo, CVSS podría ser menos útil para las vulnerabilidades relacionadas con la IA que se relacionan principalmente con el sesgo, la ética o las preocupaciones legales, según FIRST. Estas vulnerabilidades se relacionan con la inferencia, la inversión de modelos y la inyección de instrucciones.
Continuará...


0 Comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!