This post is also available in: Português Español
El aumento de la explotación de vulnerabilidades de seguridad en software y aplicaciones crece exponencialmente cada año, acarreando pérdidas representativas a empresas y gobiernos.
Los impactos son más evidentes en la actualidad, sin embargo, la preocupación por las vulnerabilidades atrae la atención de los investigadores desde hace más de 20 años.
En enero de 1999, los cocreadores de la CVE (Common Vulnerability Enumeration), David E. Mann e Steven M. Christey de The MITRE Corporation, presentaron en el 2nd Workshop on Security Vulnerability Database Research, en enero de 1999, la primera versión de lo que se convertiría en la Lista CVE.
A partir de este concepto, se crearon los 321 registros CVE y la lista se hizo pública oficialmente en septiembre de 1999.
Continúe leyendo este contenido para entender un poco más sobre CVE y CVSS y cómo se utilizan estos sistemas y conceptos para la clasificación de vulnerabilidades en seguridad digital.
¿Qué es la lista CVE?
La lista CVE es una lista de identificadores únicos para vulnerabilidades de seguridad cibernética.
El objetivo de CVE es normalizar la identificación y descripción de las vulnerabilidades de seguridad en software y sistemas para que la comunidad de seguridad pueda compartir información de forma coherente y eficaz. De este modo, los usuarios y las organizaciones pueden acceder a información precisa y actualizada sobre las vulnerabilidades de seguridad.
La lista CVE es mantenida por la MITRE Corporation, una organización sin ánimo de lucro financiada por el gobierno estadounidense. La lista se utiliza ampliamente en el sector de la ciberseguridad y es una referencia importante para investigadores, proveedores de software, empresas de seguridad y usuarios finales.
La comunidad de ciberseguridad ha elevado la importancia de CVE mediante el desarrollo de productos y servicios «conformes con CVE» desde el momento en que se publicó. En la actualidad, numerosos productos y servicios de todo el mundo utilizan registros CVE.
Otro hecho que contribuye a la adopción es la continua inclusión de los ID de CVE en los avisos de seguridad. Los principales proveedores de sistemas operativos (SO) y otras organizaciones de todo el mundo incluyen los ID de CVE en sus avisos para garantizar que la comunidad internacional se beneficie en cuanto se anuncia un problema.
Los registros CVE también se utilizan para identificar vulnerabilidades en listas de vigilancia públicas, como OWASP , y se clasifican por gravedad en el Sistema Común de Puntuación de Vulnerabilidades (CVSS).
Identificador de clasificación CVE
El CVE es una lista de identificadores únicos de vulnerabilidades de ciberseguridad. Las vulnerabilidades se clasifican en función de su gravedad e impacto, respetando la siguiente nomenclatura:
- CVE-YYYY-NNNN: Identificador único compuesto por el año (YYYY) y un número secuencial de 4 dígitos (NNNN).
- Gravedad: Las vulnerabilidades se clasifican según su gravedad, utilizando la escala CVSS (Common Vulnerability Scoring System), que va de 0 a 10. Cuanto mayor sea el número, mayor será la gravedad de la vulnerabilidad.
- Impacto: Las vulnerabilidades se clasifican en función del impacto que pueden tener en el sistema afectado, como la confidencialidad, la integridad y la disponibilidad de los datos.
Las clasificaciones CVE se utilizan para ayudar a identificar, analizar y corregir vulnerabilidades de seguridad en software y sistemas. Esto permite a la comunidad de ciberseguridad disponer de un estándar común para comunicar y compartir información sobre vulnerabilidades, ayudando a proteger a usuarios y organizaciones de posibles ataques.
CVSS ¿qué es y para qué sirve?
El Common Vulnerability Scoring System (CVSS) es un marco abierto para informar sobre las características y la gravedad de las vulnerabilidades de software, hardware y firmware. Sus resultados incluyen puntuaciones numéricas que indican la gravedad de una vulnerabilidad en relación con otras vulnerabilidades.
El marco CVSS consta de tres grupos de métricas:
Métrica Base
Representa las características del activo que es vulnerable y que son constantes a lo largo del tiempo. El grupo de métricas base se compone de 2 conjuntos de métricas:
Explotabilidad: refleja la facilidad y los medios técnicos con los que se puede explotar la vulnerabilidad. En este punto se evalúan el tipo de vector de ataque, la complejidad del ataque, los privilegios requeridos y la necesidad de interacción del usuario.
Impacto: refleja la consecuencia directa de un exploit exitoso en el componente afectado. Aunque el componente vulnerable suele ser una aplicación, el componente afectado puede ser hardware o un dispositivo de red, por ejemplo.
Métrica Temporal
Estas métricas ajustan la gravedad básica de una vulnerabilidad en función de factores que pueden cambiar con el tiempo.
Las métricas temporales miden el estado actual de las técnicas de explotación, así como la existencia de parches o soluciones o la confianza en la descripción de una vulnerabilidad.
Supongamos que tras la identificación y comunicación de la vulnerabilidad al mercado, se publica un kit de explotación fácil de usar. Esto aumentaría la puntuación CVSS de la vulnerabilidad en cuestión.
Por el contrario, si después de identificar la vulnerabilidad se publica un parche oficial, la puntuación de la vulnerabilidad se reduciría.
Métrica Ambiental
Representa las características de una vulnerabilidad que son exclusivas del entorno del usuario. Estas métricas permiten a los analistas personalizar la puntuación CVSS en función de la importancia del activo tecnológico afectado.
Durante la fase de evaluación medioambiental se hace referencia a los pilares de Confidencialidad, Integridad y Disponibilidad.
Por ejemplo, si el activo tecnológico afectado por la vulnerabilidad soporta el pilar de disponibilidad y este pilar es crítico para el funcionamiento de la empresa, el analista puede asignar un valor más alto a la Disponibilidad en relación con la Confidencialidad y la Integridad.
Puntuación CVSS
Las métricas de línea de base producen una puntuación que va de 0 a 10, y puede modificarse puntuando las métricas temporal y ambiental. Una puntuación CVSS también se presenta como una cadena vectorial, una representación textual de los valores utilizados para derivar la puntuación.
Es habitual que sólo se publiquen las métricas base, ya que no cambian con el tiempo y son comunes a todos los entornos. Los usuarios de CVSS deben complementar la puntuación base con puntuaciones temporales y ambientales específicas del uso del producto vulnerable para obtener una gravedad más precisa en su entorno como organización.
Las puntuaciones básicas suelen ser elaboradas por la organización que mantiene el producto vulnerable o por una tercera parte en su nombre.
Los usuarios pueden utilizar la información del CVSS como entrada a un proceso organizativo de gestión de vulnerabilidades que también tenga en cuenta factores ajenos al CVSS para clasificar las amenazas a su infraestructura tecnológica y tomar decisiones de corrección más específicas.
Tales factores pueden incluir: número de clientes de una línea de productos, pérdidas monetarias debidas a una brecha, vidas o propiedades amenazadas, u opinión pública sobre vulnerabilidades muy publicitadas. Estos factores quedan fuera del ámbito del CVSS.
Beneficios do uso do CVSS
Entre las ventajas del CVSS se incluye la provisión de una metodología estandarizada de puntuación de vulnerabilidades que es independiente de la plataforma y el proveedor. Se trata de un marco abierto que ofrece transparencia sobre las características individuales y la metodología utilizada para obtener una puntuación.
CVSS es propiedad y está gestionado por FIRST.Org, Inc. (FIRST), una organización sin ánimo de lucro con sede en Estados Unidos cuya misión es ayudar a los equipos de respuesta a incidentes de seguridad informática de todo el mundo.
Este contenido aportó una visión resumida de cómo se tratan y clasifican las vulnerabilidades, teniendo en cuenta referencias internacionales muy coherentes.
La gestión de vulnerabilidades es una tarea que requiere gran competencia técnica y continuidad, ya que las vulnerabilidades no dejan de surgir y es deber de las empresas buscar medios eficaces para mantener a salvo sus entornos y datos.
¿Aún tiene dudas sobre la clasificación del proceso de identificación y gestión de vulnerabilidadesen su empresa? Converse con nuestros especialistas y sepa como podemos ayudarlos.
This post is also available in: Português Español