El marco de referencia para la calificación de fragilidades comunes en sistemas informáticos, mejor conocido bajo la sigla CVSS (Common Vulnerability Scoring System), es un recurso estándar y sin costo empleado para determinar el grado de severidad de amenazas de seguridad en informática. Su principal propósito es brindar asistencia a las instituciones en el establecimiento de prioridades de riesgos y en sincronizar sus medidas de reacción.
El CVSS concede una puntuación a cada amenaza, en una escala numerada de 0 a 10, siendo el cero el indicador de la menos severa y el diez para la más grave. Esta calificación se obtiene gracias a un conjunto de parámetros que describen los rasgos de la vulnerabilidad, tales como su nivel de explotación, las posibles repercusiones en la confidencialidad, integridad y disponibilidad de la información, entre otros.
El CVSS también emite calificaciones temporales y ambientales, además de la evaluación base. La calificación temporal se refiere a factores que pueden variar, como la situación de un exploit o la existencia de correctivos. En cambio, la calificación ambiental permite a las instituciones hacer ajustes a la puntuación base según su propia situación y la relevancia de los recursos implicados.
El CVSS brinda una serie de beneficios a las instituciones que buscan combatir eficazmente las amenazas de seguridad. Propone un idioma común que facilita la comunicación entre diferentes agentes involucrados, como equipos de seguridad, proveedores de software y usuarios finales.
Además, el CVSS les permite a las organizaciones organizar sus medidas correctivas de acuerdo a prioridades. Al asignar una calificación a cada amenaza, el CVSS posibilita a las organizaciones identificar rápidamente las vulnerabilidades más graves que necesitan acción inmediata.
Por último, el CVSS es un estándar de acceso libre y de adopción generalizada, por lo que funciona con una amplia variedad de herramientas y plataformas de gestión de amenazas.
No obstante sus ventajas, el CVSS también tiene sus áreas de déficit. Por ejemplo, la puntuación base del CVSS no integra el contexto particular de una organización, como la relevancia de los recursos implicados o la presencia de controles de seguridad existentes. Además, el CVSS puede no ser el marco apropiado para juzgar ciertos tipos de amenazas, como las que existen en la cadena de suministro o aquellas que necesitan interacción del usuario para ser explotadas.
En conclusión, el CVSS es una herramienta valiosa para determinar y manejar amenazas de seguridad, pero debe emplearse en conjunto con otros métodos y prácticas de gestión del riesgo para conseguir una visión completa de la situación de seguridad de una organización.
`
`
El estándar integral de medición de Vulnerabilidades Comunes, conocido como CVSS (Common Vulnerability Scoring System en inglés), es un recurso abierto y gratuito que permite calificar y clasificar el nivel de exposición al peligro en sistemas digitales. ¡Vamos a sumergirnos en su historia y desarrollo!
El CVSS es una creación del 2005 por parte del ente mundial sin fines de lucro, Foro de Respuesta a Incidentes y Equipos de Seguridad (FIRST). Primordialmente, el cometido de FIRST es guiar a las corporaciones en su prevención y respuesta frente a situaciones adversas de seguridad cibernética.
La criatura de FIRST, el CVSS, nació de la necesidad de un protocolo unificado y consistente que permitiera evaluar la magnitud de las amenazas de seguridad. Hasta entonces, las corporaciones aplicaban un abanico de métodos para cuantificar los riesgos, generando así discrepancias y confusiones.
El modelo CVSS ha sufrido una serie de mejoras desde su nacimiento, buscando perfeccionar su precisión y pertinencia. En 2005, con el lanzamiento de CVSS v1, se otorgaba un puntaje que indicaba el nivel de gravedad intrínseco de una amenaza.
No obstante, en 2007 se presentó CVSS v2 para enfrentar ciertas restricciones de su antecesor. Ésta versión reveló dos nuevas categorías de puntuación: un puntaje temporal, evidenciando aspectos de una amenaza que podrían cambiar con el tiempo, y un puntaje ambiental, para reflejar el impacto de una amenaza en un sistema concreto.
Buscando trascender las limitaciones de la v2 y describir de forma más acertada la gravedad de las amenazas en condiciones reales, nace CVSS v3 en 2015. Este lanzamiento incorporó transformaciones significativas en las métricas y el sistema de puntajes.
Para 2019, se liberó CVSS v3.1, albergando leves mejoras y precisiones respecto a su versión predecesora.
Desde su instauración, CVSS ha sido profusamente acogido por un sinnúmero de empresas y organizaciones alrededor del globo. Entidades como el Instituto Nacional de Normas y Tecnología de EE.UU (NIST), el Consejo de Seguridad de Open Applications (OWASP) y el Sistema de Alerta Temprana de Internet (ISACs) utilizan el CVSS. Asimismo, una multiplicidad de empresas de seguridad digital se sirven del CVSS para medir y clasificar los riesgos en su funcionalidad.
Como reflexión final, CVSS se ha desarrollado durante años, convirtiéndose en una referencia obligada en la esfera de la seguridad digital. Sus sucesivas mejoras y actualizaciones han maximizado su potencial para generar una evaluación fidedigna y relevante de la gravedad de los riesgos de seguridad.
El sistema CVSS, la abreviatura de Common Vulnerability Scoring System, implementa diversas mediciones para evaluar la seriedad de una vulnerabilidad. Tres campos principales componen estas mediciones: la Base, Temporal y Ambiental.
Los elementos fundamentales de la Base consisten en aspectos inalterables de una vulnerabilidad, independientes del tiempo y del entorno. Estos consisten en:
Canal de Ataque (AV): Muestra el medio por el cual una vulnerabilidad es susceptible de ser comprometida. Las alternativas posibles incluyen Red (N), Adyacente (A) y Local (L).
Dificultad de Acceso (AC): Expone el grado de acceso requerido para hacer explotable una vulnerabilidad. Las alternativas contempladas son Bajo (L) y Alto (H).
Verificación (Au): Informa sobre la necesidad de verificación para hacer posible la explotación de una vulnerabilidad. Las opciones concebibles son Ninguna (N), Única (S) y Múltiple (M).
Consecuencias sobre la Confidencialidad (C): Evalúa el efecto potencial en la confidencialidad de la información del sistema vulnerado. Las alternativas son Ninguno (N), Parcial (P) y Completo (C).
Consecuencias sobre la Integridad (I): Estima el efecto potencial en la integridad de la información del sistema vulnerado. Las opciones son Ninguno (N), Parcial (P) y Completo (C).
Consecuencias sobre la Disponibilidad (A): Permite conocer el efecto potencial en la disponibilidad del sistema comprometido. Las opciones son Ninguno (N), Parcial (P) y Completo (C).
Los aspectos temporales revelan propiedades de una vulnerabilidad susceptibles de fluctuar a lo largo del tiempo. Incluyen:
Explotabilidad (E): Evalúa el riesgo de que se efectúe la vulnerabilidad. Las opciones admitidas son No probado (U), Prueba de concepto (POC), Funcional (F) y Alto (H).
Remediación (RL): Indica el grado de solución accesible. Las posibilidades son No disponible (U), Oficial (O), Temporal (T) y Alternativa (W).
Fiabilidad del Informe (RC): Estima la confianza en la fuente que reporta la vulnerabilidad. Las posibilidades son Confirmado (C), Razonable (R) y Desconocido (U).
Los aspectos ambientales exponen el efecto potencial de una vulnerabilidad en un entorno específico, como una organización o un sistema concreto. Incluyen:
Requerimientos de Seguridad para la Confidencialidad (CDP): Estima el potencial daño a la privacidad de la información. Las posibilidades son Ninguno (N), Bajo (L), Medio (M) y Alto (H).
Requerimientos de Seguridad para la Integridad (TD): Expone el nivel de riesgo para la integridad de la información. Las opciones son Ninguno (N), Bajo (L), Medio (M) y Alto (H).
Requerimientos de Seguridad para la Disponibilidad (CR): Evalúa el nivel de riesgo para la disponibilidad de los recursos. Las opciones son Ninguno (N), Bajo (L), Medio (M) y Alto (H).
Con la combinación de todas estas mediciones se puede generar una puntuación CVSS, que se sitúa en una escala de 0 a 10, donde 10 representa la mayor gravedad. Esta puntuación ofrece una medida cuantificable de la severidad de una vulnerabilidad, facilitando a las organizaciones la priorización de sus esfuerzos de remediación.
Dentro del universo de la protección cibernética, se suelen utilizar con frecuencia ciertos términos técnicos y acrónimos, destacando entre ellos CVE (Common Vulnerabilities and Exposures) y CVSS (Common Vulnerability Scoring System). A pesar de que ambos están interconectados con las tácticas de defensa digital, sus funciones y objetivos diferencian.
El sistema CVE funciona como un índice de puntos débiles conocidos en seguridad cibernética. Cada punto débil se registra con un código único, lo que facilita a los expertos en seguridad digital y a los programadores el seguimiento, la actualización y la reparación eficaz de estas debilidades.
Por ejemplo, un registro típico de CVE podría ser así: CVE-2020-1234. Este código exclusivo proporciona a los expertos en seguridad la capacidad de buscar datos minuciosos acerca de esta debilidad específica, extendiendo desde las formas de ser violada hasta las estrategias para su mitigación.
En contraparte, el CVSS funciona como un sistema estandarizado para medir la seriedad de las debilidades en seguridad cibernética. Consiste en una escala numérica desde 0 hasta 10 para calificar cada debilidad según su nivel de amenaza, siendo 10 el más crítico.
La calificación se determina a base de varios factores, tales como la complicación de la violación, el efecto sobre la confidencialidad, integridad y disponibilidad, y la posibilidad de violación remota.
Pese a ser sistemas diferentes, CVE y CVSS suelen combinarse al manejar la defensa digital. Mientras CVE registra la debilidad, CVSS califica su nivel de amenaza.
| CVE | CVSS |
|---|---|
| Registra debilidades | Califica la seriedad de las debilidades |
| Otorga a cada debilidad un código exclusivo | Otorga a cada debilidad una calificación numérica |
| Agiliza el seguimiento y la reparación de debilidades | Ayuda a ordenar las estrategias de reparación |
Para concluir, CVE se usa para el reconocimiento y seguimiento de debilidades, y CVSS para su medición y priorización. Ambos son recursos imprescindibles para cualquier experto en defensa digital.
El modelo CVSS analiza una gama de parámetros, consolidados en tres áreas clave: fundamentos intrínsecos, elementos que evolucionan con el tiempo, y características específicas del contexto. Todos estos se abordan por separado, concluyendo con la creación de la puntuación global CVSS.
Los principios básicos se centran en los aspectos inherentes a la vulnerabilidad. Se dividen en tres subcategorías: aptitud para su manipulación, implicaciones emergentes y condiciones necesarias.
Aptitud para su manipulación: Los componentes de esta sección estiman la viabilidad de que un intruso pueda manejar la vulnerabilidad. Se consideran aspectos como la facilidad de la manipulación, los privilegios requeridos y el nivel de interacción requerido al usuario.
Implicaciones emergentes: Este segmento estudia el posible impacto que puede generar una vulnerabilidad en la privacidad, fiabilidad y la accesibilidad del sistema comprometido.
Condiciones necesarias: Este conjunto de aspectos evalúa el nivel de acceso e interacción que el usuario necesitaría para poder gestionar adecuadamente la vulnerabilidad.
Los componentes de esta sección evalúan las especificidades de una vulnerabilidad que podrían variar con el tiempo. Se valoran factores como la posibilidad de aprovechamiento, la existencia de soluciones y la claridad en la definición de la vulnerabilidad.
Las particularidades del contexto se centran en las especificidades de una vulnerabilidad en un escenario dado. Se examinan factores como la relevancia del sistema comprometido, la implementación de acciones de mitigación y el posible efecto en la entidad afectada.
A través de una evaluación exhaustiva de estos componentes, se establece la puntuación global del CVSS, un número que puede ir de 0 (sin riesgo) a 10 (riesgo crítico).
Es crucial recalcar que, si bien el modelo CVSS proporciona un marcador de referencia importante, no debería ser el único factor a tener en cuenta al decidir cómo gestionar una vulnerabilidad. Cada entidad debe considerar su situación particular, sus riesgos inherentes y sus medios para tomar decisiones eficientes en la gestión de amenazas.
Las entidades se benefician del empleo del CVSS de distintas formas, ajustándose a sus requerimientos y propósitos concretos. Aquí se describen los principales beneficios de usar el CVSS en las entidades.
Uno de los beneficios de aplicar el CVSS es su eficiencia en el análisis de debilidades. Las entidades lo usan para detectar y categorizar las debilidades en sus sistemas de seguridad digital. Esto les ofrece la oportunidad de enfocar sus esfuerzos de resolución y distribuir sus recursos de una forma más eficaz.
Por ejemplo, una entidad podría detectar diversas debilidades en sus sistemas. A través del empleo del CVSS, podrían establecer cuáles de estas debilidades son las más severas y deben ser solucionadas de inmediato.
El CVSS también es una herramienta eficaz en el control de amenazas. Las entidades pueden usar las calificaciones del CVSS para estimar la amenaza que representa una debilidad específica. Esto les ofrece la información necesaria para tomar decisiones informadas acerca de cómo manejar dicha debilidad.
Por ejemplo, si una debilidad tiene una calificación alta en el CVSS, la entidad podría decidir que es demasiado peligroso dejarla sin resolver. Sin embargo, si una debilidad tiene una calificación baja, la entidad podría decidir que puede tolerar la amenaza que representa.
Algunas entidades aprovechan el CVSS para asistirles en asegurar el cumplimiento de las regulaciones de seguridad de la información. Por ejemplo, la regulación PCI DSS (Payment Card Industry Data Security Standard) requiere que las entidades analicen y solucionen las debilidades en sus sistemas. En este sentido, el CVSS puede resultar una herramienta efectiva para asegurar el cumplimiento de esta norma.
Finalmente, algunas entidades aplican el CVSS como una herramienta para mejorar su protección digital en general. Al detectar y solucionar las debilidades, las entidades pueden fortalecer sus sistemas de protección y disminuir la probabilidad de un ataque exitoso.
En conclusión, las entidades se benefician del CVSS de distintas formas, ajustándose a sus requerimientos y propósitos concretos. En cualquier caso, el objetivo final es siempre mejorar la protección digital y reducir la amenaza de ataques cibernéticos.
`
`
A lo largo de este artículo se profundiza en el sistema conocido por sus siglas en inglés como CVSS (Common Vulnerability Scoring System). ¿Todavía te quedan preguntas? No te preocupes, aquí responderemos a las consultas más frecuentes sobre el tema.
El CVSS, constituye un esquema estándar libre de costos que permite evaluar el nivel de riesgo de las falencias en la seguridad de sistemas digitales. Dicho esquema asigna un valor numérico a dichas falencias que refleja su nivel de riesgo, fundado en un conjunto determinado de criterios evaluativos.
El valor proporcionado por el CVSS se determina a partir de una ecuación que considera tres grupos de criterios: el Base, el Temporal y el Ambiental. Los criterios Base enfocan en los aspectos propios de una falencia; los criterios Temporales consideran las peculiaridades que van variando, como la existencia de exploits; y los Ambientales consideran cómo la falencia afectaría en un entorno en específico.
El CVE, por sus siglas en inglés (Common Vulnerabilities and Exposures), corresponde a un método que permite la identificación y catalogación de falencias de seguridad conocidas. Por otro lado, el CVSS asigna un valor numérico a estas falencias, que evalúa su gravedad. En resumen, el CVE identifica las falencias, y el CVSS asigna un valor a su gravedad.
Las empresas integran el CVSS en sus estrategias de manejo de falencias. A partir de este esquema, las empresas pueden establecer cuales falencias deben ser tenidas en cuenta con prioridad. Por ejemplo, una falencia que recibe un alto valor por parte del CVSS, debería ser tenida en cuenta con prioridad para su solución.
No, el CVSS no es de uso obligatorio. Sin embargo, es un esquema que ha sido adoptado ampliamente por compañías de seguridad digital, debido a su utilidad en el momento de evaluar y establecer una prioridad entre las falencias.
El CVSS es mantenido y actualizado por el Foro del Grupo de Interés Especial de CVSS del Consorcio de Seguridad en Internet, conocido en inglés como FIRST. Las actualizaciones se llevan a cabo para contrarrestar los cambios en las amenazas identificadas y mejorar la precisión y utilidad del esquema.
Este capítulo sobre las preguntas más frecuentes debería proporcionarte un entendimiento más claro del CVSS. Si te quedan más preguntas, no dudes en evaluar las referencias proporcionadas en este artículo o ponerte en contacto con profesionales de seguridad digital.
Para profundizar en el tema del Sistema de Evaluación de Vulnerabilidades Comunes (CVSS), se sugiere revisar las siguientes fuentes autorizadas:
Foro de Grupos Especiales de Seguridad de Aplicaciones (FIRST) es la entidad encargada de supervisar y mantener el CVSS. Ofrecen un extenso material explicativo acerca de cómo opera el sistema de clasificación de amenazas. Accede al mismo a través de este enlace: https://www.first.org/cvss/
FIRST también brinda un Manual de CVSS con instrucciones más específicas para el uso efectivo de esta herramienta. Puedes consultar este recurso aquí: https://www.first.org/cvss/user-guide
El Registro Nacional de Vulnerabilidades (NVD), regido por el gobierno estadounidense, compila información detallada sobre amenazas de seguridad que han sido categorizadas por CVSS. Accede al registro desde este enlace: https://nvd.nist.gov/
CVE Details es una plataforma online que provee información de amenazas de seguridad que se encuentran en el repositorio CVE, las cuales cuentan con puntuaciones CVSS. Visita la página desde aquí: https://www.cvedetails.com/
Existen diversas publicaciones científicas que analizan el sistema CVSS y su impacto en la administración de amenazas de seguridad, por ejemplo:
El estudio de Allodi y Massacci "Impacto del CVSS en la seguridad cibernética".
La investigación de Scarfone y Mell "Efectividad del CVSS para la prevención de amenazas".
Foros y blogs especializados en seguridad cibernética son espacios de aprendizaje donde expertos comparten su experiencia en la utilización del CVSS. Estas plataformas ofrecen consejos prácticos sobre cómo emplear CVSS en escenarios reales.
Existen diversos programas de aprendizaje digital que ofrecen formación sobre el CVSS. Estos sirven para comprender cómo integrar este sistema en tu organización.
Varios proveedores de soluciones de seguridad cibernética publican guías técnicas sobre cómo integran CVSS en sus servicios. Estas guías pueden ser valiosas para entender cómo se aplica CVSS en la práctica.
Es crucial recordar que a pesar de que CVSS es una herramienta útil para categorizar amenazas de seguridad, uno no debería depender de ella exclusivamente para tomar decisiones sobre cómo enfrentar una amenaza en particular.
Parcours de développement : Passage de HTTP/1 à HTTP/2 Le Hypertext Transfer Protocol, connu sous l'abréviation…
Las API para diferentes personas son muy diferentes La dimensión digital está llena de nudos…
¿Qué es un webshell? Un shell web es una herramienta de intrusión digital que concede…
¿Qué es un Reverse Shell? Un "Reverse Shell" o, como se denomina en español, "Shell…
¿Qué es un pod de Kubernetes? Kubernetes (K8s) incorpora a su estructura tecnológica un componente…
Patrones fundamentales El paradigma laboral de Kubernetes se forja a través de diversos elementos cruciales,…