El Sistema de puntuación de vulnerabilidad común (CVSS) se encuentra cada vez más imprescindible en la seguridad de las organizaciones, donde pueden priorizar las vulnerabilidades según el riesgo de puntuación CVSS (bajo, medio o alto).

Las vulnerabilidades están siempre a la orden del día en los softwares de las empresas, ya que los atacantes pueden indagar en el robo de datos importantes e incluso causar daños.

Las organizaciones deben tener un proceso en la identificación de vulnerabilidades para remediarlos tan pronto como puedan.

CVSS (Sistema de puntuación de vulnerabilidad común)

Common Vulnerability Scoring System (CVSS) es un tipo de soporte público que tiene como objetivo la evaluación de la gravedad de las vulnerabilidades de seguridad del software. CVSS lleva a cabo una puntuación numérica para clasificar las vulnerabilidades según su gravedad. Así, si la puntuación es alta, podrán priorizar la corrección de la vulnerabilidad.

Métricas

Y ahora viene la pregunta, ¿cómo se utiliza? Con CVSS se calculan las puntuaciones a través de métricas que se agrupan en tres, denominándose Base, Temporal y Ambiental. A continuación, vamos a desglosar los conceptos de cada uno.

Grupo base

Es la métrica que muestra las características que se mantienen en el tiempo de una vulnerabilidad. Esta métrica es de las más utilizadas en las organizaciones, quienes miden el impacto de las vulnerabilidades y les permite priorizarlas.

Para averiguar la gravedad de la vulnerabilidad a partir de esta métrica, debemos tener en cuenta que la puntuación se basa de cero a diez (de menos riesgo a más).

Dentro del grupo métrica base, nos encontramos con varias métricas más que lo engloban para realizar la puntuación base CVSS:

Métricas de explotación: indica la accesibilidad con la que podrá explotar a la vulnerabilidad encontrada. Este a la vez identifica cuatro métricas de explotación:

  • Vector de ataque
  • Complejidad del ataque
  • Privilegio requerido
  • Interacción del usuario

Métricas de impacto: mide el impacto que genera el atacante a través de la explotación de dicha vulnerabilidad. Este se divide también en tres métricas:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Métricas del alcance: analiza si la vulnerabilidad encontrada en un sistema afecta a otro sistema diferente.

Por otro lado, las organizaciones pueden modificar las métricas base a través de la puntuación de las métricas temporales y ambientales.

Grupo temporal

Esta métrica sí se modifica con el tiempo, por ello se mide el estado actual de la vulnerabilidad en el momento. Este también se divide en tres métricas diferentes:

Madurez del código: mide la dificultad que tiene el atacante de explotar la vulnerabilidad.

Nivel de corrección: analiza la disponibilidad de alguna solución ante dicha vulnerabilidad.

Confianza en los informes: mide la seguridad que dan las fuentes sobre la existencia de la vulnerabilidad.

Grupo ambiental

Las organizaciones tienen la opción de modificar las métricas CVSS base a través de esta métrica bajo los factores comerciales que puede perjudicar la gravedad de la vulnerabilidad. Las métricas ambientales se dividen en:

Métricas bases modificadas: como hemos explicado anteriormente, las organizaciones pueden llevar a cabo la modificación de las métricas base a través de medidas correctivas con el fin de reducir la posibilidad de la llegada de un atacante a la vulnerabilidad y su posterior explotación.

Requisitos de seguridad: se mide a partir de la confidencialidad, integridad y disponibilidad, la calificación del activo de la organización.

Puntuación CVSS para la calificación de la gravedad

La utilización de este sistema en las organizaciones ha ayudado a los equipos de seguridad a valorar las vulnerabilidades de los sistemas de la empresa. Esto se lleva a cabo ya que CVSS es un sistema abierto y, por tanto, la organización tiene acceso completo a los factores que realizan el puntaje.

Las puntuaciones CVSS sirven para poder identificar el riesgo o gravedad que contienen las vulnerabilidades encontradas en la organización, con el fin de priorizar las vulnerabilidades que deben mitigarse antes. Si nos basamos en la calificación CVSS de FIRST quedaría de esta forma:

img-17.jpg

Diferencia entre CVSS y CVE

CVE (Common Vulnerabilities and Exposures) es un identificador exclusivo para cada vulnerabilidad, sin puntuaciones de gravedad y calificaciones para la priorización para vulnerabilidades. Los CVE se identifican como una lista en la que se encuentran las vulnerabilidades de seguridad concretas asignadas con un número de identificación CVE.

Más que una diferencia, podemos decir que CVSS complementa a CVE. CVSS proporciona la calificación de gravedad de cada CVE de las vulnerabilidades de seguridad encontradas en los softwares de las organizaciones.