Common Vulnerability Score System (CVSS) es un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto de vulnerabilidades, por lo que se utiliza para cuantificar la severidad que pueden representar estas debilidades en el software o hardware.

En una publicación anterior revisamos qué es y cómo se utiliza CVSS, y ahora que el método se actualiza a la versión 3.0, tal como anunció en fechas recientes el Forum of Incident Response and Security Teams (FIRST), vamos a conocer las principales diferencias respecto a la edición previa.

Características generales de CVSS versión 3.0

Del mismo modo que la versión anterior, CVSS v3.0 se conforma de tres grupos de métricas utilizadas para el cálculo de un puntaje, que estima la severidad de una vulnerabilidad. El primer grupo, denominado base, busca representar las cualidades intrínsecas de ésta, es decir, aquéllas que son inherentes a la vulnerabilidad.

El segundo grupo, conocido como temporal, refleja las características que cambian con el tiempo, mientras que el grupo de métricas de entorno considera características de una vulnerabilidad que son únicas para el contexto del usuario que lleva a cabo la evaluación.

Luego de asignar valores a las métricas base, la fórmula puede tener como resultado una puntuación que oscila entre 0.0 y 10.0, mismo que representa la severidad de la vulnerabilidad en cuestión. Este puntaje puede ser modificado en función de los valores que se le asignan a los dos grupos de métricas restantes (temporal y de entorno).

Además, una puntuación obtenida con CVSS, también se representa como una cadena de caracteres (vector), que muestra un resumen de los valores utilizados para cada una de las métricas. Y del mismo modo que en las versiones anteriores, la puntuación es el resultado de asignar valores cualitativos a las métricas (bajo, medio, alto o crítico), de manera que las organizaciones puedan evaluar y priorizar las vulnerabilidades.

¿Cuáles son las diferencias entre la versión 2 y 3 de CVSS?

Luego de conocer los aspectos generales del CVSS v3.0,  vamos a revisar las principales diferencias respecto a la segunda versión de este sistema de puntaje.

  • Consideración de la nueva métrica ‘alcance’

En la nueva versión se ha incluido una nueva métrica denominada ‘alcance’, debido a que existen vulnerabilidades que pueden identificarse en un componente específico (componente vulnerable), pero que sin embargo pueden afectar a otros elementos (componente impactado).

Por ejemplo, en este caso se puede considerar una máquina virtual vulnerable que puede afectar al sistema operativo anfitrión u otras máquinas virtuales, tal como sucede con la amenaza hacia los servicios de virtualización denominada Venom.

En el ejemplo, la máquina virtual es el componente vulnerable que impacta al sistema operativo anfitrión, por lo que el alcance de la vulnerabilidad se modifica. El puntaje base se incrementa cuando el componente vulnerable impacta a otros componentes.

  • Identificación de los tipos de ataques

En la versión 2 dentro del grupo de métricas base se consideraba el ‘vector de acceso’, es decir, el medio necesario para acceder a la vulnerabilidad, con tres posibles valores: a través de cualquier red (como Internet), una red adyacente o de manera local. Esto generaba confusión, ya que se puede acceder de distintas maneras a un componente vulnerable y no solo a través de una red.

Por ello, la métrica es sustituida por el llamado ‘vector de ataque’, que considera cuatro escenarios para la explotación de una vulnerabilidad: a través de Internet (red), por medio de una red física o lógica de una distancia limitada como bluetooth o Wi-Fi (adyacente), si la explotación se realiza sobre un componente local vulnerable (local) o si el atacante requiere de acceso físico al componente vulnerable (físico).

  • Identificación de la complejidad de explotación

Con la versión anterior, en ocasiones la complejidad para explotar una vulnerabilidad, denominada ‘complejidad de acceso’ podía relacionarse con la configuración de un sistema o la interacción necesaria con un usuario para el logro de propósito.

Por esta razón, la métrica se separa en ‘complejidad de ataque’, lo que hace referencia a una condición en la cual un atacante puede explotar la vulnerabilidad en el momento que lo desee o si depende de otros factores que se encuentran fuera de su control. El resultado del puntaje base mayor cuando el atacante posee restricciones que puede sortear a plenitud.

La segunda métrica se denomina ‘interacción con el usuario’, que considera el involucramiento de un usuario para la efectividad de un ataque. El resultado base es menor cuando un atacante requiere la interacción con el mismo. Si la interacción no es requerida, el resultado será mayor. Por ejemplo, en un caso donde se deba aplicar Ingeniería Social con una persona para lograr el objetivo malicioso.

  • Inclusión de la métrica ‘privilegios requeridos’

Esta es una nueva métrica que reemplaza la de ‘autenticación’ de la segunda versión, que recordemos, estaba enfocada al número de veces que debía autenticarse un atacante para lograr la explotación de la vulnerabilidad. Con esta nueva métrica, más que el número de veces, se evalúan los privilegios necesarios para lograr un propósito ofensivo.

A menor cantidad de privilegios necesarios para la explotación, mayor será el resultado de puntaje base. El atacante podría necesitar privilegios de administrador, de usuario común, o bien, no requerir de una autenticación previa, para aprovecharse de una debilidad en la infraestructura tecnológica.

  • Cambios en el impacto a la confidencialidad, integridad y disponibilidad

En la versión 2 de CVSS el impacto a las propiedades de confidencialidad, integridad y disponibilidad en la información se aplicaban en función de un porcentaje de afectación (nulo, parcial o completo). Para la nueva versión, los valores de impacto son renombrados a las categorías: nulo, bajo y alto.

La criticidad de la información también es considerada, por ejemplo, el impacto a la integridad es alto si el atacante puede modificar cualquier información en cualquier momento o la información crítica puede ser alterada. Es bajo cuando solo cierta información puede ser modificada y/o el atacante no tiene control sobre información crítica. El impacto es nulo cuando no existe pérdida de integridad, es decir, la información se encuentra completa y es exacta.

  • Inclusión de la métrica ‘factores de mitigación’

Además, se incluye una nueva métrica llamada ‘factores de mitigación’ que sustituye a las métricas de entorno ‘distribución de objetivos’ y ‘daño colateral’, la cual busca adaptar controles de mitigación o debilidades en los controles que operan en el ambiente de los usuarios, y que podrían reducir el impacto de una explotación de vulnerabilidades exitosa.

  • Inclusión de una escala cualitativa de clasificación

Mientras que en la segunda versión de CVSS no se proporcionaba una guía formal para la clasificación de los resultados, en la nueva edición se proveen lineamientos oficiales para mapear un puntaje con una escala de clasificación cualitativa, que funciona de la siguiente manera: un resultado de 0.0 corresponde a una categoría nula, si resultado oscila entre 0.1 y 3.9 se considera baja.

La categoría es media si el valor está entre 4.0 y 6.9, mientras que es considerado alta si se encuentra dentro del rango 7.0 y 8.9; finalmente, la vulnerabilidad es clasificada como crítica si el puntaje resulta entre 9.0 y 10.0. Aunque se trata de una guía oficial, las organizaciones pueden modificarla y aplicar su propia escala, pero siempre manteniendo la misma escala para todas las evaluaciones.

Es importante mencionar que la correspondencia entre las categorías cualitativas y cuantitativas solo se aplica si son evaluadas solo las métricas base, o en caso contrario si se consideran todas las métricas de los tres grupos: base, temporal y de entorno.

Consideraciones generales sobre las vulnerabilidades y CVSS

De manera similar al uso de versiones anteriores, existen beneficios que se observan a simple vista, con relación al uso de un método como CVSS. Por ejemplo, con el sistema de puntaje se obtienen valores de vulnerabilidad estandarizados, lo que permite mantener criterios consistentes para la gestión de las debilidades en hardware y software que han sido evaluadas.

Además, al utilizar un marco abierto es posible conocer las características propias de cada vulnerabilidad, y cuando se calcula su resultado, se vuelve representativa de los riesgos dentro de las organizaciones, por lo que los usuarios conocen la importancia de una vulnerabilidad con relación a otras. Esto se traduce en una priorización consciente de las medidas de seguridad que se desean aplicar, con el propósito de atender primero las vulnerabilidades críticas.

Finalmente, un método de esta naturaleza contribuye a tener un panorama amplio sobre la exposición de una organización a riesgos, que pueden derivarse de las vulnerabilidades que ya han sido identificadas y evaluadas.

gestion_seguridad_corporativa_academiaeset