Vulnerabilidades
¿Qué es CVSS y cómo utilizarlo?

Noticias y Novedades

Vulnerabilidades: ¿Qué es CVSS y cómo utilizarlo?

 

El CVSS (Common Vulnerability Scoring System) permite estimar el impacto de las vulnerabilidades de seguridad. Proporciona un puntaje que ayuda a entender su nivel de riesgo.

En seguridad de la información, una vulnerabilidad es una debilidad presente en un activo o control. Puede ser explotada por una o más amenazas. Esto genera un riesgo para la organización.

Por este motivo, la seguridad busca reducir los riesgos a niveles aceptables. Para lograrlo, es clave identificar y evaluar fallas en plataformas de software y hardware. El objetivo es evitar incidentes no deseados.

Sin embargo, los riesgos cambian de forma constante. Las amenazas evolucionan y los recursos suelen ser limitados. Por eso, resulta esencial priorizar qué vulnerabilidades atender primero. El desafío está en convertir los datos técnicos en información clara y accionable.

En este contexto, CVSS surge como un estándar ampliamente adoptado. Permite clasificar y priorizar vulnerabilidades de manera objetiva. Así, ayuda a tomar mejores decisiones en la gestión de la seguridad.

 

¿Qué es CVSS?

 

Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades. Actualmente se utiliza la versión 2, aunque la tercera ya está en desarrollo.

CVSS se encuentra bajo la custodia de Forum of Incident Response and Security Teams (FIRST), pero se trata de un estándar completamente abierto, por lo que puede ser utilizado libremente.

Resulta común identificar el uso de CVSS en bases de datos de vulnerabilidades públicamente conocidas como National Vulnerability Database (NVDB), Common Vulnerabilities and Exposures (CVE) u Open Source Vulnerability Database (OSVDB).

 

¿Cómo se calcula el impacto con CVSS?

 

El CVSS permite medir el impacto de una vulnerabilidad con una escala de 0 a 10. La severidad es baja entre 0.0 y 3.9. Es media entre 4.0 y 6.9. Y se considera alta cuando supera 7.0.

Para calcular el puntaje, CVSS utiliza tres grupos de métricas. Estas son: base, temporales y de entorno. Cada grupo aporta una perspectiva distinta del riesgo.

Las métricas base describen características propias de la vulnerabilidad. Son constantes en el tiempo y en cualquier entorno. Definen cómo se accede a la falla y si puede ser explotada. Además, miden el impacto sobre la confidencialidad, integridad y disponibilidad. Estos efectos se evalúan de forma independiente.

Las métricas temporales reflejan factores que pueden cambiar con el tiempo. Consideran la existencia de exploits, el nivel de remediación y la confiabilidad de la información disponible. Son opcionales y pueden omitirse sin afectar el cálculo.

Por último, las métricas de entorno se adaptan al contexto específico de cada organización. Evalúan el impacto real según el ambiente del usuario. Incluyen daño colateral, distribución de objetivos y requisitos de seguridad. Al igual que las temporales, también son opcionales.

El siguiente esquema resume estos conceptos:

 

 

Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y crea una cadena de texto (vector) con dichos valores asignados, que es utilizada para comunicar la forma en que se generó cada puntuación de la respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto la calificación de la vulnerabilidad.

De manera general, el grupo de métricas base pretende definir y comunicar las características fundamentales de una vulnerabilidad, para otorgar a los usuarios una clara e intuitiva representación de una vulnerabilidad.

Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas cuando se trata de mitigar los riesgos derivados de las vulnerabilidades. Para poner en práctica el método que se ha descrito, los usuarios pueden hacer uso la calculadora CVSS.

 

Beneficios de utilizar CVSS

 

Las ventajas de utilizar el método definido con CVSS son diversas, principalmente, se utilizan puntuaciones de vulnerabilidad estandarizadas, lo que permite crear criterios consistentes para la gestión de vulnerabilidades.

También, al utilizar un marco abierto es posible conocer las características individuales de la vulnerabilidad, mismas que son utilizadas para obtener la puntuación. Finalmente, cuando se calcula la puntuación, la vulnerabilidad se vuelve representativa del riesgo en una organización, por lo que los usuarios conocen la importancia de una vulnerabilidad con relación a otras. Esto se traduce en una priorización consciente de las medidas de seguridad que se desean aplicar.

 

Miguel Ángel Mendoza

Fuente: Welivesecurity