En agosto de 2022, Sophos X-Ops publicó un informe sobre atacantes múltiples, es decir, adversarios que atacan varias veces a las mismas organizaciones. Una de nuestras recomendaciones clave en esa investigación era prevenir los ataques repetidos «priorizando primero los fallos más peligrosos»: parchear las vulnerabilidades críticas o de alto perfil que pudieran afectar a las pilas de software específicas de los usuarios. Aunque creemos que sigue siendo un buen consejo, la priorización es una cuestión compleja. ¿Cómo sabes cuáles son los fallos más peligrosos? ¿Y cómo priorizas realmente la corrección, dado que los recursos son más o menos los mismos pero el número de CVE publicados al año sigue aumentando, de 18.325 en 2020, a 25.277 en 2022, a 29.065 en 2023? Y según una investigación reciente, la capacidad media de reparación en las organizaciones es del 15% de las vulnerabilidades abiertas en un mes determinado.
Un enfoque habitual es priorizar la aplicación de parches por gravedad (o por riesgo, distinción que aclararemos más adelante) mediante puntuaciones CVSS. El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) existe desde hace mucho tiempo, proporciona una clasificación numérica de la gravedad de las vulnerabilidades entre 0,0 y 10,0, y no solo se utiliza ampliamente para establecer prioridades, sino que es obligatorio en algunos sectores y gobiernos, como la Industria de Tarjetas de Pago (PCI) y partes del gobierno federal de EE.UU.
En cuanto a cómo funciona, es engañosamente sencillo. Introduces detalles sobre una vulnerabilidad y aparece un número que te dice si el fallo es Bajo, Medio, Alto o Crítico. Hasta aquí, todo sencillo: eliminas los fallos que no te afectan, te centras en parchear las vulnerabilidades Críticas y Altas de las que quedan, y parcheas después las Medias y Bajas o aceptas el riesgo. Todo está en esa escala del 0 al 10, así que en teoría es fácil de hacer.
Pero hay más matices que eso. En el primero de estos dos artículos echaremos un vistazo a lo que ocurre bajo el capó del CVSS, y explicaremos por qué no es necesariamente tan útil para la priorización por sí mismo. En la segunda parte, analizaremos algunos esquemas alternativos que pueden proporcionar una imagen más completa del riesgo para informar sobre la priorización.
Antes de empezar, una nota importante. Aunque en este artículo hablaremos de algunos problemas del CVSS, somos muy conscientes de que crear y mantener un marco de este tipo es un trabajo duro y, hasta cierto punto, una tarea ingrata. CVSS es objeto de muchas críticas, algunas relacionadas con problemas inherentes al concepto y otras con la forma en que las organizaciones utilizan el marco. Pero debemos señalar que CVSS no es una herramienta comercial de pago. Se ofrece gratuitamente a las organizaciones para que la utilicen como consideren oportuno, con la intención de proporcionar una guía útil y práctica sobre la gravedad de las vulnerabilidades y, por tanto, ayudar a las organizaciones a mejorar su respuesta a las vulnerabilidades publicadas. Sigue siendo objeto de mejoras, a menudo en respuesta a comentarios externos. Nuestra motivación al escribir estos artículos no es en modo alguno menospreciar el programa CVSS ni a sus desarrolladores y mantenedores, sino proporcionar contexto y orientación adicionales sobre el CVSS y sus usos, específicamente en lo que respecta a la priorización de la reparación, y contribuir a un debate más amplio sobre la gestión de vulnerabilidades.
Si estás interesado en el tema, estos son los enlaces a los dos artículos (en inglés):
Dejar un comentario