En el contexto de la seguridad de la información, una vulnerabilidad se define como una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que deriva en un riesgo de seguridad.

En este sentido, la seguridad se enfoca en reducir los riesgos a un nivel que resulte aceptable, razón por la cual una de las actividades a las que se recurre con frecuencia consiste en identificar y evaluar debilidades asociadas a las plataformas de software y hardware, con la intención de evitar la materialización de eventos indeseados e inesperados.

En un ambiente donde los riesgos se encuentran en constante cambio, las amenazas son dinámicas y los recursos son limitados, resulta fundamental priorizar la aplicación de medidas de seguridad, luego de identificar las vulnerabilidades. Sin embargo, la complejidad radica en definir una escala y los criterios que permitan transformar los datos obtenidos en información.

Un elemento que aborda esta problemática y que ha sido adoptado por una cantidad importante de organizaciones y compañías enfocadas en seguridad, es Common Vulnerability Score System (CVSS).

¿Qué es CVSS?

Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades. Actualmente se utiliza la versión 2, aunque la tercera ya está en desarrollo.

CVSS se encuentra bajo la custodia de Forum of Incident Response and Security Teams (FIRST), pero se trata de un estándar completamente abierto, por lo que puede ser utilizado libremente.

Resulta común identificar el uso de CVSS en bases de datos de vulnerabilidades públicamente conocidas como National Vulnerability Database (NVDB), Common Vulnerabilities and Exposures (CVE) u Open Source Vulnerability Database (OSVDB).

¿Cómo se calcula el impacto con CVSS?

Al entender qué es CVSS, para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y 3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando el puntaje cae dentro del rango 7.0 y 10.0.

Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas: base, temporal y de entorno, cada una se conforma a su vez de un conjunto de otras métricas, como lo veremos a continuación.

  • Las métricas base representan las características intrínsecas a la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. Incluyen las métricas de vector de acceso, complejidad de acceso y autenticación, de manera que permiten definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada. La severidad de las tres métricas mide la manera en la que una vulnerabilidad, si se explota, afecta de forma directa a los activos de TI. Los impactos se determinan de manera independiente, como el grado de pérdida de confidencialidad, integridad y disponibilidad, ya que una vulnerabilidad podría causar pérdida parcial de integridad y disponibilidad, pero tal vez no afecte la confidencialidad.
  • El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo, pero que son constantes en el ambiente de un usuario. Debido a que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo del tiempo, se consideran tres factores que influyen en ello: confirmación de los detalles técnicos de la vulnerabilidad (explotabilidad), el nivel de remediación y el reporte de confianza, referido a la disponibilidad del código o técnicas que permitan la explotación. Estas métricas son opcionales e incluyen un valor que no afecta a la evaluación cuando un usuario cree que la métrica en particular no existe y quiere omitirla.
  • Las métricas de entorno corresponden al tercer grupo y representan las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular. Se definen debido a los distintos ambientes que pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. Este grupo de métricas se enfoca en las características de una vulnerabilidad asociadas al entorno del usuario. Incluyen el daño potencial colateral, distribución de objetivos y los requisitos de confidencialidad, integridad y disponibilidad. Al igual que las métricas temporales, son opcionales y cada una tiene un valor sin efecto en la evaluación, el cual es utilizado cuando un usuario considera que la métrica en particular no existe y la omite.

El siguiente esquema resume estos conceptos:

metricas
Cuando se asignan valores a las métricas, la ecuación calcula la puntuación y crea una cadena de texto (vector) con dichos valores asignados, que es utilizada para comunicar la forma en que se generó cada puntuación de la respectiva vulnerabilidad, razón por la cual, el vector suele mostrarse junto la calificación de la vulnerabilidad.

De manera general, el grupo de métricas base pretende definir y comunicar las características fundamentales de una vulnerabilidad, para otorgar a los usuarios una clara e intuitiva representación de una vulnerabilidad.

Es posible utilizar los grupos de entorno y temporal para proporcionar información contextual que refleje el riesgo de un ambiente específico, lo que permite tomar decisiones más informadas cuando se trata de mitigar los riesgos derivados de las vulnerabilidades. Para poner en práctica el método que se ha descrito, los usuarios pueden hacer uso la calculadora CVSS.

Beneficios de utilizar CVSS

Las ventajas de utilizar el método definido con CVSS son diversas, principalmente, se utilizan puntuaciones de vulnerabilidad estandarizadas, lo que permite crear criterios consistentes para la gestión de vulnerabilidades.

También, al utilizar un marco abierto es posible conocer las características individuales de la vulnerabilidad, mismas que son utilizadas para obtener la puntuación. Finalmente, cuando se calcula la puntuación, la vulnerabilidad se vuelve representativa del riesgo en una organización, por lo que los usuarios conocen la importancia de una vulnerabilidad con relación a otras. Esto se traduce en una priorización consciente de las medidas de seguridad que se desean aplicar