Leer Priorización y gestión de vulnerabilidades: CVSS, SSVC, EPSS y KEV
SSVC - Categorización de vulnerabilidades específicas de las partes interesadas
El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon, en colaboración con CISA, creó el sistema de Categorización de Vulnerabilidades Específicas para las Partes Interesadas (SSVC - Stakeholder-Specific Vulnerability Categorization ) en 2019 para proporcionar a la comunidad cibernética una metodología de análisis de vulnerabilidades que considere el estado de explotación de una vulnerabilidad, su impacto en la seguridad y la prevalencia del producto afectado en un sistema específico.
CISA colaboró con SEI en 2020 para desarrollar su propio árbol de decisiones SSVC personalizado para examinar las vulnerabilidades relevantes para el gobierno de los Estados Unidos (USG), así como para los gobiernos estatales, locales, tribales y territoriales (SLTT), y las entidades de infraestructura crítica. La implementación de SSVC ha permitido a CISA priorizar mejor su respuesta a las vulnerabilidades y la comunicación pública sobre ellas.
¿Qué es un SSVC?
El SSVC es un marco de toma de decisiones diseñado para ayudar a los equipos de seguridad a priorizar y responder a las vulnerabilidades de manera eficiente. A diferencia del CVSS, que se centra en la gravedad técnica, el SSVC se centra en la respuesta operativa necesaria, es decir, qué acción se debe tomar y con qué urgencia.
El SSVC utiliza un "árbol de decisiones" para guiar a los analistas a través
de una serie de preguntas contextuales, como:
- ¿Es explotable la vulnerabilidad?
- ¿Existe una explotación conocida públicamente?
- ¿Qué tipo de impacto podría causar?
Cómo CISA utiliza SSVC
CISA utiliza su propio modelo de árbol de decisiones SSVC para priorizar las vulnerabilidades relevantes en cuatro posibles decisiones:- Track (Seguimiento): La vulnerabilidad no requiere acción por el momento. La organización continuará monitoreando la vulnerabilidad y la reevaluará si se dispone de nueva información. CISA recomienda remediar las vulnerabilidades de seguimiento dentro de los plazos de actualización estándar.
- Track* (Seguimiento*): La vulnerabilidad contiene características específicas que podrían requerir una monitorización más estrecha para detectar cambios. CISA recomienda remediar las vulnerabilidades Track* dentro de los plazos de actualización estándar.
- Attend (Atención): La vulnerabilidad requiere la atención de los supervisores internos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, y pueden implicar la publicación de una notificación interna o externa. CISA recomienda remediar las vulnerabilidades de Atención antes de los plazos de actualización estándar.
- Act (Actuar): La vulnerabilidad requiere la atención de los miembros internos, supervisores y directivos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, así como publicar una notificación interna o externa. Normalmente, los grupos internos se reúnen para determinar la respuesta general y luego ejecutan las acciones acordadas. CISA recomienda remediar las vulnerabilidades de Actuar lo antes posible.
El árbol CISA SSVC determina las decisiones de Track , Track *, Attend y Act en función de cinco valores:
- Estado de explotación
- Impacto técnico
- Automatizable
- Prevalencia de la misión
- Impacto en el bienestar público
Uso de SSVC
SVC es una metodología para priorizar la respuesta a la vulnerabilidad según las necesidades de las distintas partes interesadas. Sus conceptos centrales son:
-
Roles de las partes interesadas
: Los distintos participantes en el proceso de respuesta a
vulnerabilidades tienen distintas necesidades y prioridades. Los roles
pueden incluir proveedores de parches, implementadores, coordinadores y
otros.
- Decisiones : Cada rol de parte interesada debe tomar decisiones sobre cómo responder a las vulnerabilidades. Para un proveedor, la decisión podría ser sobre cómo priorizar la creación de parches. Para un implementador, la decisión podría ser sobre cómo priorizar la implementación de parches. Los coordinadores generalmente deben decidir si coordinar una respuesta y si publicar información sobre una vulnerabilidad que han coordinado.
- Puntos de decisión : Cada decisión se basa en un conjunto de datos o puntos de decisión. Estos son los factores que influyen en la decisión. Por ejemplo, la decisión de implementar un parche podría verse influenciada por la gravedad de la vulnerabilidad, la disponibilidad de un exploit y el impacto de la vulnerabilidad en el sistema.
- Resultados : Cada decisión tiene un conjunto de posibles resultados. Estos son los posibles resultados de la decisión. Por ejemplo, una decisión sobre la implementación de un parche podría tener resultados como "inmediato", "programado", "diferido" y "fuera de ciclo".
Comenzar un proceso SSVC desde cero
Usar SSVC para priorizar la respuesta a vulnerabilidades requiere algunos pasos:
- Preparar: definir la decisión que desea tomar, los resultados que le interesan, los puntos de decisión que utilizará para tomar la decisión, la tabla de decisiones, los datos que necesita para informar los puntos de decisión y el proceso para mantener su modelo de decisión.
- Recolectar: recopilar los datos que necesita para tomar decisiones informadas.
- Utilice SSVC: para tomar decisiones sobre cómo responder a las vulnerabilidades.
- Responder: a las vulnerabilidades según la priorización.
Leer Priorización y gestión de vulnerabilidades: CVSS, SSVC, EPSS y KEV
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!