Sistema de puntuación de vulnerabilidades comunes (CVSS)

Los profesionales de la seguridad suelen estar atentos a las noticias sobre Vulnerabilidades y exposiciones comunes (CVE) para mantenerse al tanto de las ciberamenazas emergentes. Sin embargo, en los últimos años se han notificado más de 25 000 CVE al año. Una vez que un equipo de DevSecOps ha determinado que una CVE es relevante para su entorno informático, ¿cómo puede determinar el nivel de riesgo que plantea esa vulnerabilidad? Aquí es donde entra en juego el Sistema de puntuación de vulnerabilidades comunes (CVSS). El CVSS es una forma normalizada de calcular la gravedad de las vulnerabilidades de seguridad. Al trabajar con arreglo a esta norma, los profesionales de la seguridad pueden comparar vulnerabilidades para priorizar sus respuestas a posibles amenazas, garantizando que las vulnerabilidades de mayor gravedad se aborden en primer lugar. En este artículo, explicaremos qué es el CVSS, de dónde procede, cómo interpretar sus puntuaciones y cómo encaja en tu estrategia de ciberseguridad. Vamos a explicarlo.

¿Qué es el CVSS?

El Sistema de puntuación de vulnerabilidades comunes (CVSS) es un marco utilizado a escala mundial para evaluar y comunicar la gravedad de las vulnerabilidades de seguridad. Esta normalización es valiosa porque permite una clasificación común de las vulnerabilidades en distintos sistemas y organizaciones. El CVSS pertenece y está gestionado por el Foro de equipos de seguridad y respuesta a incidentes (FIRST). La primera versión del CVSS comenzó como un proyecto del National Infrastructure Advisory Council (NIAC) en 2005. El CVSS v3.1 ha estado en uso desde 2019, y el CVSS v4 se publicó oficialmente en el mes de noviembre de 2023. Antes de sumergirnos más profundamente en el CVSS, veamos algunos términos clave que a menudo surgen en las conversaciones sobre este sistema:

• Sistema de puntuación de vulnerabilidades comunes: Marco estandarizado para clasificar la gravedad de las vulnerabilidades de seguridad.
• Base de datos de vulnerabilidades y exposiciones comunes: Se trata de una base de datos de vulnerabilidades de seguridad conocidas gestionada por MITRE Corporation. Cada vulnerabilidad incluida en la base de datos de CVE recibe un identificador único, lo que facilita el intercambio de información sobre vulnerabilidades concretas.
• Base de datos nacional de vulnerabilidades (NVD): Esta base de datos del gobierno estadounidense incluye todas las vulnerabilidades que figuran en la base de datos de CVE. Estas vulnerabilidades se completan con información adicional, incluida la puntuación de gravedad del CVSS.

Estos términos están interrelacionados en el proceso de identificación y gestión de los riesgos de ciberseguridad. El CVSS proporciona el marco de puntuación, la base de datos de CVE ofrece una lista estandarizada de vulnerabilidades conocidas y la NVD enriquece esta información con análisis y contexto adicionales. Juntos, dan forma a un enfoque global para comprender y abordar las vulnerabilidades de ciberseguridad.

Explicación de los grupos de métricas en el CVSS

El marco CVSS consta de tres grupos de métricas distintos: base, temporales y del entorno. Los grupos de métricas ayudan a categorizar diferentes aspectos de una vulnerabilidad para una mayor claridad en la evaluación de la gravedad. Cada grupo de métricas desempeña un papel único a la hora de determinar la puntuación global de gravedad de una vulnerabilidad. Las métricas del grupo base evalúan las "cualidades intrínsecas de una vulnerabilidad que son constantes a lo largo del tiempo y en todos los entornos de usuario". Se centran en aspectos como:

• Cómo se aprovecha la vulnerabilidad
• La complejidad del exploit
• El nivel de acceso necesario para aprovechar la vulnerabilidad
• El impacto de la vulnerabilidad en la confidencialidad, integridad y disponibilidad

Esta puntuación base no cambia con el tiempo. Funciona como una instantánea de la gravedad de la vulnerabilidad desde el principio. La NVD incluye la puntuación base para cada CVE enumerada. Las métricas del grupo temporal se centran en lo que cambia con la vulnerabilidad a lo largo del tiempo. Tienen en cuenta cuestiones como:

• ¿Ha creado alguien una corrección para la misma?
• ¿Existe alguna herramienta nueva que facilite el exploit de esta vulnerabilidad por parte de ciberdelincuentes malintencionados?

A medida que llega nueva información y cambian las condiciones, las métricas temporales pueden subir o bajar. Las métricas del grupo del entorno se centran en las características específicas del entorno de un usuario que podrían afectar al impacto de la vulnerabilidad. Tienen en cuenta factores como la pérdida potencial para una organización o la prevalencia de un sistema vulnerable en el entorno del usuario. Por ejemplo, puede que tus sistemas estén configurados de forma que la vulnerabilidad sea más grave, o puede que dispongas de seguridad adicional que reduzca el riesgo de un exploit. Esta puntuación se adapta a tus circunstancias específicas y puede variar mucho de un entorno a otro. Comprender estos grupos métricos es clave para evaluar con precisión la gravedad de las vulnerabilidades para un entorno determinado. Cada grupo contribuye a la puntuación final, que guía a una organización en la priorización de su respuesta a las diferentes amenazas.

Explicación de la escala de puntuación en el CVSS

La escala de puntuación del CVSS va de 0 a 10, según la gravedad de una vulnerabilidad. Una puntuación más alta indica una vulnerabilidad más grave que exige atención inmediata, y una puntuación más baja sugiere un problema menos crítico. Analicemos qué representa esta escala de puntuación y cómo se aplica en situaciones del mundo real.

• Gravedad baja (de 0 a 3,9): Supone un riesgo mínimo y a menudo requiere condiciones específicas para ser aprovechada. Un ejemplo de vulnerabilidad con una puntuación de 2,0 podría ser un error de divulgación de información de bajo impacto que requiere privilegios de alto nivel para poder aprovecharse.
• Gravedad media (de 4,0 a 6,9): Es más común y puede ser más fácil de aprovechar, pero no suele tener consecuencias graves. Por ejemplo, se podría dar una puntuación de 5,5 a un problema de scripts entre sitios que podría aprovecharse más fácilmente pero que no comprometería todo un sistema.
• Gravedad alta (de 7,0 a 8,9): Una amenaza considerable que a menudo conlleva el acceso no autorizado a los sistemas afectados y la pérdida de control sobre ellos.
• Gravedad crítica (de 9,0 a 10,0): Las vulnerabilidades más peligrosas, que suelen permitir un aprovechamiento generalizado con graves consecuencias como la pérdida de datos, la caída del sistema o la total apropiación. Por ejemplo, un exploit de ransomware muy extendido podría tener una puntuación de 9,5.

Al conocer lo que representa cada rango de puntuaciones y ver ejemplos de cómo se aplican a vulnerabilidades reales, los profesionales pueden tomar decisiones más informadas sobre sus estrategias de ciberseguridad. Existen varias herramientas para calcular las puntuaciones del CVSS basadas en el marco, como las calculadoras NVD Calculator o la CVSS Calculator de FIRST. Algunas empresas de ciberseguridad también ofrecen herramientas propias para el cálculo de la puntuación del CVSS. Estas herramientas suelen permitir a los usuarios introducir detalles específicos sobre una vulnerabilidad para evaluar las puntuaciones temporales y del entorno, que luego se combinan con la puntuación base para generar una puntuación del CVSS precisa para un usuario concreto.

Cómo utilizar la puntuación de vulnerabilidades para gestionar los riesgos

Incluso con una puntuación del CVSSv4, puede haber datos del entorno de tus propios sistemas que te hagan considerar el impacto de forma diferente entre dos vulnerabilidades con puntuaciones similares. ¿Cómo prepararse para empezar a utilizar esta información adicional cuando esté disponible? Empieza por analizar tu estrategia de gestión de vulnerabilidades. He aquí algunos consejos para empezar:

• Haz un inventario de tus recursos y superficie de ataque (los sistemas y aplicaciones que estás protegiendo) para que puedas entender mejor el impacto en tu entorno específico utilizando los nuevos datos cuando estén disponibles.
• Nos guste o no, en algún momento todos tenemos prioridades contrapuestas y debemos tomar decisiones difíciles sobre a qué dedicar nuestro tiempo. Para estar preparados para ello, observa el inventario de tus sistemas y considera qué áreas soportan más riesgo, o menos. Qué recursos son los más críticos y cuáles los menos. Qué recursos están más expuestos a los ataques y cuáles están más protegidos por otros controles de compensación.
• En CrowdStrike recomendamos encarecidamente a nuestros clientes nuestro modelo ExPRT.AI como una mejor forma de priorizar dos vulnerabilidades "con la misma puntuación" entre sí. Tanto si utilizas nuestro modelo de IA, una puntuación del CVSSv4 o cualquier otro mecanismo, elabora un plan para responder a las vulnerabilidades, que debería detallar los niveles de riesgo, los impactos potenciales, las estrategias de mitigación comunes (como aplicación de parches, controles de compensación o incluso la desactivación de sistemas no críticos) y establecer un periodo de tiempo para revisar este plan con regularidad. El ecosistema del software cambia constantemente, al igual que tu entorno. Estar preparados con un plan sólido te permitirá avanzar al máximo en tu propia lucha contra los adversarios.

¿Cuál es la diferencia entre CVSSv3.1 y CVSSv4?

CVSSv3.1 presentaba varias lagunas que debían solucionarse con el fin de proporcionar más utilidad al sistema de puntuación. En la versión 4.0 que ahora entra en vigor se han abordado dichos problemas, pero aún hay que mejorar la comprensión del riesgo. La mejora más notable es que CVSSv3.1 no tenía en cuenta el impacto de una vulnerabilidad en sistemas adicionales, pero CVSSv4 ha añadido un conjunto de métricas para el impacto en sistemas afectados indirectamente. Además, CVSSv4 también incluye un grupo de nuevas métricas no puntuables que pueden ayudar a proporcionar un contexto adicional, conocido como Métricas complementarias, sobre una vulnerabilidad que ayudará al usuario final a relacionar la puntuación con su propio entorno.

Sistemas afectados indirectamente

Los sistemas afectados indirectamente son cualquier sistema que pueda verse afectado por el exploit de una vulnerabilidad, aunque no sea el propio sistema vulnerable. Para explicarlo, veamos un ejemplo: Un servidor web está ejecutando un sitio que permite a los usuarios iniciar sesión, realizar pagos y ver los datos de sus cuentas. Una vulnerabilidad de scripts entre sitios (XSS) en el sitio web se consideraría una vulnerabilidad en el sitio/servidor. Un sistema afectado indirectamente podría ser el equipo de los usuarios y su navegador web. Aunque la vulnerabilidad existe en el servidor web, un aprovechamiento exitoso podría permitir a un ciberdelincuente obtener acceso a una gran cantidad de información contenida en el sistema de los usuarios o incluso ejecutar comandos en él, sin el conocimiento del usuario. En este ejemplo, el "impacto en el sistema afectado indirectamente" significaría que el navegador web de los usuarios finales podría comprometer aún más la información privada o, peor aún, convertir sus equipos en un host para nuevos ataques a través de Internet. Dadas las nuevas métricas de clasificación de CVSSv4, la vulnerabilidad de este ejemplo debería recibir una puntuación más alta que otra vulnerabilidad que no tenga un impacto posterior en el sistema. Al considerar el impacto posterior a partir del punto inicial del exploit, el nuevo sistema de puntuación intenta reflejar una visión más realista del impacto potencial de una vulnerabilidad.

Métricas complementarias

Las métricas complementarias son métricas no puntuables que se han añadido al CVSSv4 a partir de la versión 3.1. Se trata de datos adicionales que pueden ser informativos y útiles para alguien que revise una vulnerabilidad mientras intenta comprender cómo se relacionaría el impacto potencial con su propio entorno. Aunque los datos aquí pueden ser útiles con métricas como Automatizable, Esfuerzo de respuesta a la vulnerabilidad y Urgencia del proveedor, estas y otras métricas se incluyeron solamente a modo informativo y no afectan a la puntuación general de una vulnerabilidad. El hecho de no puntuarlas es evidente en algunos casos, como en el de Urgencia del proveedor. Lo que es urgente desde la perspectiva de un proveedor de software puede no ser visto con la misma urgencia por otro. Si se permitiera a los proveedores asignar una urgencia baja a todas sus CVE y obtener una puntuación final más baja, se les estaría incentivando a manipular el sistema. El objetivo de poseer estos datos es ayudar a los usuarios finales a comprender mejor qué otros factores pueden ser relevantes para su entorno. Así, para garantizar la mejor comparación entre las distintas CVE, estas métricas complementarias no se incluyen en la puntuación final del cálculo de CVSSv4.

¿Qué ventajas te proporciona CVSSv4?

La principal ventaja de CVSSv4 es que la ampliación de las métricas relativas al impacto en un entorno, los sistemas afectados indirectamente y la información para ayudar en la mitigación proporciona más detalles en la puntuación de una vulnerabilidad concreta. Gran parte de la comunidad de gestión de vulnerabilidades consideró que todas estas novedades eran bienvenidas. CrowdStrike ya advirtió de la necesidad de contar con una puntuación de vulnerabilidad basada en el impacto y el riesgo, por lo que desarrolló nuestra propia clasificación ExPRT.AI. Nuestra calificación se centra en predecir la probabilidad de aprovechamiento de una vulnerabilidad, lo que incluye una combinación de factores como nuestros propios datos de inteligencia sobre el adversario, sin depender de los informes proporcionados por el propio proveedor (de la aplicación vulnerable). Esta medición del exploit es un área en la que el proceso de CVSS en general aún carece de muchos detalles, pero las métricas complementarias y los criterios adicionales son un complemento apreciado para proporcionar uniformidad y claridad en áreas que ayudarán a los usuarios finales a comprender el riesgo relativo de las vulnerabilidades que tienen en su entorno.

¿Cuándo se adoptará el CVSSv4?

Existe un número reducido de fuentes de información sobre vulnerabilidades fiables e independientes de los proveedores. La mayor parte de la comunidad recurre a la Base de datos nacional de vulnerabilidades(NVD) del NIST como proveedor de información sobre las CVE. Por el momento, NVD no ha comenzado a publicar las puntuaciones del CVSSv4, pero CrowdStrike planea incorporarlas cuando comiencen a adoptarse en 2024. Revisar las puntuaciones del CVSSv3 o v3.1 para algunas CVE puede proporcionar un contexto histórico valioso que algunos usuarios buscan a la hora de planificar cómo abordar las nuevas vulnerabilidades. Cuando se adopte más ampliamente la versión 4.0, es probable que la NVD siga publicando las puntuaciones del CVSSv3.1.

Integración del CVSS en las prácticas de ciberseguridad

La familiaridad con el CVSS proporciona a los profesionales de la seguridad una base que puede influir significativamente en su estrategia de ciberseguridad. Este conocimiento es vital para priorizar y abordar eficazmente las vulnerabilidades de seguridad. No obstante, es importante recordar que una puntuación del CVSS por sí sola no proporciona una imagen completa de la amenaza que supone una vulnerabilidad para la organización. Estos datos tan importantes deben ir acompañados de inteligencia sobre amenazas, además de contexto. Este es el motivo por el que son realmente importantes herramientas como CrowdStrike Falcon® Exposure Management y CrowdStrike Falcon® Spotlight. Falcon Spotlight añade perspectiva a la gestión de vulnerabilidades, proporcionando información rápida, precisa y procesable para garantizar la seguridad de tus sistemas sin afectar a su rendimiento. Falcon Exposure Management se basa en lo anterior con información detallada sobre la exposición a puntos débiles y vulnerabilidades, mejorando la capacidad a la hora de identificar y priorizar los riesgos basándose en datos en tiempo real. Al combinar los datos estandarizados del CVSS con las capacidades avanzadas de la plataforma CrowdStrike Falcon®, puedes crear una posición de ciberseguridad más sólida y con mayor capacidad de respuesta. Para obtener más información sobre esta plataforma de Falcon, pruébala de forma gratuita, o bien ponte en contacto con nuestro equipo de expertos hoy mismo.