Priorización de vulnerabilidades técnicas con CVSS 2.0

Uno de los procesos básicos de seguridad en cualquier empresa moderna es la identificación y gestión de las vulnerabilidades de seguridad de los elementos de su plataforma tecnológica.  El mantenimiento actualizado de los parches de seguridad de las aplicaciones, bases de datos, sistemas operativos, etc… reduce en cierta medida las posibilidades de que nuestros sistemas sean víctima de hackers u otro tipo de atacantes de origen externo o interno a la compañía, ayudando a reducir la probabilidad de pérdidas para el negocio.

Especialmente en el caso de empresas de mayor tamaño, uno de los retos a los que se deben enfrentar los responsables de la seguridad informática, es la automatización de los procesos de identificación, evaluación, y corrección de las vulnerabilidades.  La priorización de múltiples acciones correctivas para un número extenso de diversos tipos de sistemas, de modo que se ponga remedio primero a las vulnerabilidades más críticas, es una tarea compleja.

En este contexto, es de gran ayuda disponer de una forma homogénea de categorizar el nivel de riesgo de las vulnerabilidades en las distintas plataformas. Este es precisamente el objetivo del sistema CVSS (Common Vulnerability Scoring System). Se trata de un método abierto y estandarizado de scoring de vulnerabilidades, usado  entre otros por los distintos proveedores de sistemas para describir el nivel de riesgo de las vulnerabilidades de seguridad que se van descubriendo sobre sus sistemas.

La metodología CVSS es usada tanto por proveedores de soluciones software, como por los boletines de información de vulnerabilidades, empresas y profesionales de gestión de seguridad y por las propias empresas usuarias de sistemas. Vamos a resumir brevemente los aspectos esenciales de este útil método.

Estructura del CVSS

El sistema CVSS se compone de tres grupos de métricas:

Grupo Base

Representas las características fundamentales intrínsecas de la vulnerabilidad que son invariables al paso del tiempo e indistintas sea cual sea el contexto concreto de uso del sistema. Normalmente, estas métricas son proporcionadas por los proveedores de soluciones software, o por los profesionales de seguridad.

Grupo Temporal

Representa aquellas características de la vulnerabilidad que cambian con el paso del tiempo, por ejemplo, si una vulnerabilidad empieza a ser conocida de manera extensiva, esto aumenta la probabilidad de que sea explotada… Al igual que en el caso del grupo base, las métricas de este grupo son proporcionadas por los proveedores de soluciones software, o por los profesionales de seguridad.

Grupo Ambiental

Uno de los aspectos más útiles del método, es que está pensado para que las empresas puedan ajustar el nivel de riesgo intrínseco de la vulnerabilidad, teniendo en consideración el contexto concreto y afinando el scoring original de modo que refleje de manera más objetiva cómo la vulnerabilidad afecta particularmente a la organización. Este grupo de métricas que es completado por las empresas usuarias de los sistemas, representa las características de la vulnerabilidad que son relevantes y únicas para el entorno concreto de la organización que usa el sistema vulnerable.

Métricas del grupo Base

Vector de Acceso (VA)

Refleja como la vulnerabilidad es explotada. Los distintos valores posibles de esta métrica son:

Valor Descripción
Local (L) Se aplica en el caso de que la vulnerabilidad solo pueda ser explotada con alguien que tenga acceso físico al sistema o una cuenta que le permita abrir una consola de comandos local al sistema.
Red adyacente (A) Se aplica en el caso de que para explotar la vulnerabilidad, sea necesario por parte del atacante, tener acceso al segmento de red donde está ubicado el software o en un segmento de red desde el que se pueda acceder al segmento en donde esté el software vulnerable.
Red (N) Se aplica en el caso de vulnerabilidades que pueden ser explotadas remotamente a través de la red

 

Complejidad de Acceso (AC)

Valor Descripción
Alto (H) Para explotar la vulnerabilidad se necesitan condiciones muy especiales. Por ejemplo:

  • Tener privilegios de administración en el sistema
  • El atacante debe poner en práctica acciones de ingeniería social que tienen alta probabilidad de ser detectadas
  • La configuración que hace vulnerable al sistema es muy difícil de encontrar en la práctica
  • La ventana de ataque es muy limitada.

 

Medio (M) Para poder explotar la vulnerabilidad se necesitan condiciones, aunque no tan especiales como en el caso ‘Alto’, por ejemplo:

  • El ataque solo puede ser perpetrado por un grupo limitado de usuarios o sistemas.
  • Para poder explotar la vulnerabilidad, es necesario obtener alguna información preliminar
  • El atacante necesita ejercitar algunas acciones no muy sofisticadas de ingeniería social, engañando ocasionalmente a algún usuario
  • La configuración que hace vulnerable al sistema no es la configuración por defecto, y no es común.

 

Bajo (L)
  • El sistema vulnerable cumple una función por la que múltiples sistemas y usuarios tienen que poder acceder a él, en algunos casos incluso de manera anónima (ej: en el casos de servidores accesibles desde Internet, como servidores web o de correo).
  • El ataque puede ser realizado manualmente y requiere no muchos conocimientos y/o poca información adicional para poder ser realizado.
  • La configuración que hace vulnerable al sistema es la configuración por defecto, y es muy frecuente de encontrar.

 

 

Autenticación (Au)

Esta métrica mide el número de veces que el atacante tiene que autenticarse para poder explotar la vulnerabilidad, una vez que haya accedido al sistema.

Valor Descripción
Múltiple (M) Para que el atacante pueda explotar la vulnerabilidad, tiene que autenticarse dos o más veces, incluso si las mismas credenciales son usadas. (ej: primero se autentica en el sistema operativo, después en una aplicación).
Única (S) Para que el atacante pueda explotar la vulnerabilidad, tiene que autenticarse una única vez.
Ninguna (N) No se requiere autenticación para que el atacante pueda explotar la vulnerabilidad.

 

Impacto en la confidencialidad (C)

Valor Descripción
Ninguno (N) No hay impacto en la confidencialidad de la información
Parcial (P) Hay riesgo de divulgación no autorizada de información; sin embargo, el atacante no tiene acceso total a la información
Completo (C) Hay riesgo de pérdida total de la confidencialidad de la información. El atacante tiene acceso a todos los ficheros , memoria y bases de datos.

 

Impacto en la integridad (I)

Valor Descripción
Ninguno (N) No hay impacto en la integridad de la información
Parcial (P) El atacante puede modificar algunos de los ficheros del sistema pero no tiene control sobre lo que está modificando o el alcance de lo que puede modificar es limitado
Completo (C) Hay un compromiso total de la integridad del sistema, dado que hay una desprotección total del sistema, permitiendo al atacante modificar cualquier fichero del sistema.

 

Impacto en la disponibilidad (A)

Valor Descripción
Ninguno (N) No hay impacto en la disponibilidad de la información
Parcial (P) Se pueden producir interrupciones limitadas de la disponibilidad del sistema o su rendimiento puede verse menoscabado.
Completo (C) Se produce una caída total del sistema.

 

Métricas del grupo Temporal

Como hemos mencionado, representan aquellas características de la vulnerabilidad que cambian con el paso del tiempo:

Explotabilidad (E)

Refleja el grado en que la vulnerabilidad es sólo una posibilidad teórica o hay información y herramientas adecuadas que permiten de manera tangible materializar un ataque que explote dicha vulnerabilidad.

Valor Descripción
No probada (U) La posibilidad de explotar la vulnerabilidad es solamente teórica, o no existe un código (exploit) disponible.
Prueba de Concepto (POC) Existe un código (exploit) disponible de aplicabilidad muy limitada que permite, sobre todo, hacer una prueba de concepto del ataque
Funcional (F) Existe un código (exploit) disponible que permite automatizar el ataque en la mayor parte de las situaciones en donde la vulnerabilidad está presente.
Alta (H) Los detalles sobre cómo explotar la vulnerabilidad están ampliamente difundidos y disponibles. Existe código (exploit) funcional ampliamente disponible o la vulnerabilidad puede ser explotada manualmente sin necesidad de código exploit.
No definida (ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Nivel de remediación (RL)

Valor Descripción
Parche Oficial (OF) Existe una solución a la vulnerabilidad dada por el propio proveedor del software (ej: en la forma de un parche de seguridad, o de una nueva versión del producto)
Parche temporal (TF) Existe una solución temporal proporcionada por el propio proveedor oficial del software. (ej: el proveedor ha publicado el parche temporal correctivo o ha descrito una forma indirecta de eliminar el impacto de la vulnerabilidad (workaround).
Atajo (workaround)(W) Existe una solución temporal no proporcionada por el propio proveedor oficial del software.
No disponible (U) NO hay una solución disponible o es imposible de aplicar.
No definida (ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Confianza en el informe (RC)

Valor Descripción
No confirmado (UC) Hay una única fuente no confirmada que habla acerca de la vulnerabilidad, o Hay varios informes contradictorios entre sí. Hay poca confianza en la validez de los informes que pueden ser considerados como rumores.
No corroborado(UR) Hay múltiples informes de fuentes no oficiales (aunque pueden incluir compañías de seguridad independientes)
Confirmado (C) La vulnerabilidad ha sido reconocida por el proveedor o el autor del sistema. También se puede categorizar como confirmada si se ha publicado un prueba de concepto o exploit funcional.
No definida (ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Métricas del grupo Ambiental

Este grupo de métricas que es completado por las empresas usuarias de los sistemas, representa las características de la vulnerabilidad que son relevantes y únicas para el entorno concreto de la organización que usa el sistema vulnerable.

Potencial de daño colateral (CDP)

Esta métrica mide las pérdidas económicas y/o el potencial de pérdidas humanas o daños en activos físicos como consecuencia de la explotación de la vulnerabilidad.

Valor Descripción
Ninguno (N) No hay potencial de pérdidas económicas y/o de pérdidas humanas o daños en activos físicos como consecuencia de la explotación de la vulnerabilidad
Bajo (L) Una explotación de la vulnerabilidad puede resultar en un daño ligero.
Bajo-Medio (LM) Una explotación de la vulnerabilidad puede resultar en un daño moderado.
Medio-Alta  (MH) Una explotación de la vulnerabilidad puede resultar en un daño significativo.
Alta (H) Una explotación de la vulnerabilidad puede resultar en un daño catastrófico.
No Definido(ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Distribución del Target (TD)

Esta métrica mide la proporción de sistemas potencialmente vulnerables en el entorno específico de la compañía.

Valor Descripción
Ninguno (N) No hay activos potencialmente vulnerables. El 0% de la plataforma técnica está en riesgo
Bajo (L) En la plataforma existen activos vulnerables pero en una escala pequeña. Entre el 1% y el 25% de la plataforma técnica está potencialmente en riesgo
Medio  (M) En la plataforma existen activos vulnerables pero en una escala media. Entre el 26% y el 75% de la plataforma técnica está potencialmente en riesgo
Alta (H) En la plataforma existen activos vulnerables pero en una escala considerable. Entre el 76% y el 100% de la plataforma técnica está potencialmente en riesgo
No Definido(ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Requisitos de Seguridad (CR, IR, AR)

Se trata de tres métricas que se deben valorar dependiendo de la importancia que tienen los sistemas vulnerables para la organización, en términos de confidencialidad, integridad y disponibilidad. Las tres métricas se evalúan con tablas de valoración similares:

Valor Descripción
Bajo (L) Una pérdida de [confidencialidad, integridad o disponibilidad] tendría solamente un efecto muy limitado en la organización o las personas.
Medio  (M) Una pérdida de [confidencialidad, integridad o disponibilidad] tendría un efecto serio en la organización o las personas.
Alta (H) Una pérdida de [confidencialidad, integridad o disponibilidad] tendría un efecto catastrófico en la organización o las personas.
No Definido(ND) Usar este valor para no computar esta métrica en la valoración final de la vulnerabilidad.

 

Cómputo del scoring final de la vulnerabilidad

El ajuste del scoring base y temporal de la vulnerabilidad llevado a cabo por las empresas usuarias y tomando en consideración las características concretas del entorno, permiten una priorización efectiva del proceso de resolución de vulnerabilidades. En la página de la National Vulnerability Database del NIST puede encontrarse la calculadora online oficial del CVVS 2.0 que permite obtener los scoring finales, aunque lo normal es que las organizaciones desarrollen sus propias calculadoras para determinar el scoring final de las vulnerabilidades.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s