CVSS v4: Evaluar las vulnerabilidades para priorizar su mitigación
Tabla de contenidos
CVSS v4 amplía el foco sobre las cuestiones que se deben tener en cuenta a la hora de evaluar las vulnerabilidades IT y tomar decisiones para remediarlas
Aún a día de hoy, muchas personas no son conscientes de que un ciberataque provoca consecuencias directas en las compañías y las personas que se ven afectadas por él. Hasta el punto de que los incidentes de seguridad que afectan a sectores como la industria o la sanidad pueden poner en tela de juicio la seguridad de las personas y llegar a causar muertes.
CVSS v4, la nueva versión de un indicador clave a la hora de evaluar la severidad de las vulnerabilidades conocidas, presta atención a esta problemática, incluyendo métricas que prestan atención a la seguridad de los seres humanos. Sin embargo, esta es, solo, una de las novedades de CVSS v4.
FIRST, un fórum global conformado por grupos de seguridad y respuesta ante incidentes, ha publicado de forma oficial CVSS v4, con el objetivo de actualizar un indicador que se ha convertido en un estándar empleado en la gestión de vulnerabilidades IT. El documento final de CVSS v4 incluye:
- Cambios en las métricas base del indicador.
- Pone el acento en la evaluación del impacto de la explotación de una vulnerabilidad tanto en el sistema vulnerable, como en los subsecuentes sistemas.
- Transforma las antiguas métricas temporales en métricas de amenazas.
- Métricas suplementarias que no afectan a la puntuación de las vulnerabilidades, pero que pueden ayudar en aspectos como la recuperación frente a los incidentes de seguridad o la lucha contra la automatización de los ataques.
- Pone en valor la necesidad de realizar evaluaciones lo más completas posibles.
- Explica cómo se desarrolló el sistema de puntuación a partir de 15 millones de vectores CVSS-BTE gracias al trabajo continuo de expertos en ciberseguridad.
A continuación, vamos a analizar las novedades de CVSS v4, destacando su utilidad para los profesionales que prestan servicios de gestión de vulnerabilidades en infraestructuras IT empresariales.
1. Un estándar que facilita la gestión de vulnerabilidades IT
Desde hace casi dos décadas, CVSS se ha convertido en un estándar global para puntuar las vulnerabilidades, priorizarlas y mitigarlas, en función de la probabilidad de que sean explotadas y de su nivel de impacto en las organizaciones en caso de que la explotación sea exitosa.
Las más de 200.000 vulnerabilidades conocidas en la actualidad no presentan ni la misma probabilidad de ser explotadas con éxito por los actores hostiles, ni un nivel de impacto en las empresas idéntico, en caso de que se produzca un incidente de seguridad. De ahí que el Common Vulnerability Scoring System sea un indicador con el que trabajan los profesionales de la ciberseguridad y las compañías para evaluar las vulnerabilidades presentes en la infraestructura IT empresarial y proceder a mitigarlas.
Las organizaciones no disponen de recursos económicos, humanos, técnicos y temporales infinitos para subsanar todas las vulnerabilidades. Por ello, resulta de vital importancia priorizar las vulnerabilidades cuya explotación puede resultar más crítica para una compañía, teniendo en cuenta sus objetivos empresariales y la necesidad de garantizar la continuidad de negocio.
1.1. Medir el nivel de severidad de una vulnerabilidad
La puntuación que se asigna a una vulnerabilidad aplicando el modelo CVSS va desde el 0 al 10, en función de las diferentes métricas evaluadas al analizar la vulnerabilidad. La nota obtenida en la escala indica de forma gráfica el nivel de severidad de una vulnerabilidad:
- 0,1 – 3,9: Nivel de severidad bajo
- 4 – 6,9: Nivel de severidad medio
- 7 – 8,9: Nivel de severidad alto
- 9 – 10: Nivel de severidad crítico
Al igual que sucedió con las versiones anteriores, FIRST ha desarrollado una calculadora para CVSS v4 que permite obtener la puntuación de CVSS de forma inmediata, en función de los valores que se seleccionen en cada métrica. Esta calculadora aplica las fórmulas avanzadas desarrolladas por el equipo de FIRST de cara a facilitar al máximo el uso de la herramienta.
Desde su versión 1, que vio la luz en 2005, FIRST ha publicado periódicamente diversas actualizaciones para adaptar este estándar al cambiante panorama de ciberamenazas
Fruto de esta labor de actualización constante es el lanzamiento, este 2023, de CVSS v4, que introduce una serie de modificaciones del estándar que vamos a desgranar a continuación.
2. Cambios en las métricas base
Las métricas base son, como su propio nombre da a entender, aquellas que miden las características intrínsecas de una vulnerabilidad y, por lo tanto:
- Se mantienen constantes a lo largo del tiempo.
- Son iguales en todos los entornos de usuario.
- Son imprescindibles a la hora de analizar una vulnerabilidad empleando este sistema.
Las métricas base se dividen, a su vez, en métricas de explotación y métricas de impacto. CVSS v4 ha introducido varias novedades relacionadas con ambas tipologías.
2.1. Nuevas métricas de explotación y valores
- Se ha creado una nueva métrica de explotación: Requisitos de ataque (AT). Esta métrica se centra en las condiciones de despliegue y ejecución previas que permiten el ataque malicioso. Los valores de esta métrica son:
- a. Ninguna. Los actores hostiles pueden explotar la vulnerabilidad con éxito sin depender de las condiciones de despliegue del sistema.
- b. Presente. Cuando el éxito del ataque depende de condiciones de ejecución que no están bajo el pleno control del atacante, incluyendo requisitos como condiciones de carrera, o la posibilidad de estar posicionado en un segmento de red que permita interceptación de datos intercambiados entre la victima y el recurso de destino.
- En la métrica Interacción del usuario (UI), que versa sobre la necesidad de que participe o no un ser humano (más allá del atacante) para que se pueda comprometer el activo vulnerable, se han incorporado dos valores además de Ninguno:
- a. Pasivo. Para explotar la vulnerabilidad se necesita que un usuario participe de forma limitada, sin necesidad de que dicho usuario subvierta activamente las protecciones del sistema. Por ejemplo, ejecutar una aplicación que llama a un binario malicioso implantado en el sistema.
- b. Activo. La explotación de la vulnerabilidad requiere que el usuario lleve a cabo interacciones específicas y conscientes con el sistema vulnerable y el payload del atacante o la interacción del usuario alteren los mecanismos de seguridad implementados, facilitando la explotación de la vulnerabilidad. Por ejemplo, el usuario ha de importar un archivo a una aplicación vulnerable o descartar las advertencias de seguridad a la hora de realizar una determinada acción.
2.2. Evaluación del impacto en un sistema vulnerable y en sistemas subsecuentes
En lo que respecta a las métricas base de impacto, es decir, aquellas que miden los efectos de la explotación de una vulnerabilidad, en primer lugar, debemos destacar que en CVSS v4 se ha eliminado la métrica Alcance. Esta decisión se debe a que, según FIRST, se concluyó que esta métrica resultaba difícil de comprender y daba pie a inconsistencias a la hora de evaluar las vulnerabilidades.
En segundo lugar, CVSS v4 ha procedido a crear dos evaluaciones diferenciadas del impacto de explotación de una vulnerabilidad, diferenciando entre:
- Impacto en el sistema vulnerable
- Impacto en sistemas subsecuentes
De tal forma que los analistas de seguridad que empleen CVSS v4 deberán determinar los valores de las métricas de impacto (Confidencialidad, Integridad y Disponibilidad) diferenciando entre el sistema al que afecta la vulnerabilidad y aquellos sistemas relacionados con este que pueden verse afectados. En caso de que esto no pueda llegar a producirse, bastará con seleccionar el valor Ninguno en todas las métricas del análisis del impacto en los sistemas subsecuentes.
3. Adaptación de las métricas de entorno
En lo que respecta a las métricas de entorno, CVSS v4 no ha introducido modificaciones per se. Sin embargo, es importante señalar que el sistema diferencia entre dos tipos de métricas de entorno:
- Las métricas de entorno en sí mismas, centradas en las características de una vulnerabilidad que son relevantes para un entorno en concreto, destacando las particularidades de cada organización. Estas métricas son: Requerimientos de confidencialidad, Requerimientos de integridad y Requerimientos de disponibilidad.
- Las métricas base modificadas. Este grupo de métricas funciona como un espejo de las métricas base y han sido diseñadas para permitir a los analistas de seguridad anular las métricas base, adaptando la evaluación a las características específicas del entorno en que están analizando.
De tal forma que cada métrica base tiene una réplica en forma de métrica de entorno. Lo que implica que los cambios que hemos desgranado antes, se trasladan a las métricas de entorno que modifican las métricas base.
Más allá de lo que venimos de señalar, debemos destacar la importancia que le da CVSS v4 a la seguridad de las personas. Tal es así que en dos métricas de entorno se incluye expresamente la necesidad de analizar el impacto de la explotación de una vulnerabilidad en los trabajadores, clientes o pacientes de la organización a la que se está evaluando:
- Integridad de los sistemas subsecuentes (MSI)
- Disponibilidad de los sistemas subsecuentes (MSA)
En ambas métricas se puede seleccionar el valor Safety (S) en caso de que se determine que la explotación de la vulnerabilidad podría provocar lesiones graves o daños aún mayores a las personas. Lo cual resulta especialmente interesante para ámbitos como los sistemas de control industrial (ICS) o el sector de la salud.
4. Métricas de amenazas en sustitución de las temporales
La tercera tipología de métricas que se recogían en las versiones del indicador anteriores a CVSS v4 eran las métricas temporales. Sin embargo, en CVSS v4 han sido sustituidas por las métricas de amenazas. Además, se han eliminado las métricas Nivel de corrección y Confianza del informe, de tal forma que la única métrica de amenazas es Madurez de la explotación (E).
Según el documento de especificaciones de CVSS v4, las métricas de amenazas tienen como objetivos:
- Medir el estado actual de las técnicas de explotación o la disponibilidad de código que pueden emplear los actores hostiles para explotar la vulnerabilidad.
- Analizar la existencia de parches o soluciones para mitigar la vulnerabilidad.
- Evaluar el nivel de confianza en la descripción de la vulnerabilidad.
Como consecuencia de ello, la métrica de Madurez de la explotación sirve para medir cuál es la probabilidad de explotación de la vulnerabilidad, habida cuenta de la existencia o no de técnicas, código y metodologías para su ejecución.
Para poder abordar esta métrica, las organizaciones deben recurrir a servicios de Threat Intelligence que recopilen información sobre las actividades maliciosas y las técnicas y métodos que emplean los actores hostiles. Gracias a los profesionales de Threat Intelligence se puede determina el valor que hay que asignar a esta métrica:
- Atacada (A). Se han notificado ataques centrados en explotar la vulnerabilidad y hay evidencias de soluciones que facilitan la explotación.
- Prueba de concepto (P). Hay una prueba de concepto disponible y accesible, pero no se han notificado intentos de explotación, ni se han descubierto herramientas que simplifiquen la explotación.
- Sin notificar (U). No se han descubierto una prueba de concepto, ataques o herramientas.
5. Métricas suplementarias y características extrínsecas de la vulnerabilidad
A mayores de los tres grandes grupos de métricas (base, entorno, amenazas), CVSS v4 incorpora una nueva tipología de métricas que no se tienen en cuenta para la obtención de la puntuación de una vulnerabilidad, pero que pueden ser de gran utilidad para las compañías a la hora de gestionar y mitigar las vulnerabilidades presentes en su infraestructura IT.
De ahí que los proveedores IT puedan emplear estas métricas para informar a las compañías que adquieren sus productos.
Estas seis métricas suplementarias sirven para medir atributos extrínsecos de una vulnerabilidad y aportan información contextual que puede ser valiosa a la hora de evaluar el riesgo de una vulnerabilidad y priorizar o no su mitigación.
5.1. Seguridad, automatización, recuperación…
Al no afectar al cálculo de la puntuación de CVSS, las compañías tienen plena libertad para determinar qué relevancia asignan a cada una de estas métricas:
- Seguridad. Se centra en el potencial impacto de la explotación de una vulnerabilidad en la seguridad física de las personas. Hay sistemas que tienen usos asociados directamente con la seguridad, de tal forma que un incidente en dichos sistemas puede tener una repercusión directa en la seguridad de las personas.
- Automatización. Esta métrica sirve para evaluar si se pueden automatizar las cuatro primeras fases de la Cyber Kill Chain (reconocimiento, armamento, distribución y explotación) y atacar a múltiples objetivos.
- Urgencia del proveedor. Muchos proveedores proporcionan evaluaciones de seguridad adicionales sobre vulnerabilidades que afectan a sus productos. Esta métrica sirve para estandarizarlas a través de un sistema de semáforo: rojo, ámbar, verde. El rojo indica que la urgencia es máxima, el ámbar señala que es moderada y el verde que es reducida. La cuarta opción «Limpio» representa que el impacto es muy reducido y, por lo tanto, la evaluación es solo informacional.
- Recuperación. Mediante esta métrica se mide la resiliencia de un sistema y la capacidad de recuperación de la organización cuando se produce un ataque.
- Densidad de valores. ¿Qué recursos que pueden controlar los actores hostiles al explotar la vulnerabilidad?. La clave reside en medir si el sistema vulnerable tiene recursos limitados o, por el contrario, dispone de acceso a múltiples recursos.
- Esfuerzo de respuesta. Las acciones que hay que llevar a cabo para responder ante una vulnerabilidad y conseguir subsanarla tienen niveles de dificultad diferentes. Esta métrica sirve para tener en cuenta cuán dificultoso resultaría para una organización acometer la mitigación de la vulnerabilidad con éxito. Esta información es útil a la hora de priorizar las vulnerabilidades y su remediación.
6. CVSS v4, el valor añadido de ir más allá de la evaluación de las métricas base
Más allá de las novedades que hemos desgranado a lo largo de este artículo, CVSS v4 busca poner el foco en una cuestión fundamental para FIRST: cómo se usa este sistema de evaluación de vulnerabilidades.
FIRST aprovecha la concepción de CVSS v4 para recordar a los especialistas en ciberseguridad, las compañías y las administraciones públicas que el estándar va mucho más allá de las métricas base. Evaluar estas métricas es indispensable para poder puntuar a una vulnerabilidad y sirven para medir con claridad sus características intrínsecas. Pero las métricas de amenazas y entorno son fundamentales, también, para analizar la probabilidad de explotación de una vulnerabilidad y su impacto en un entorno concreto.
Por ello, a la hora de usar CVSS v4 es recomendable cumplimentar todas las métricas, para conseguir una puntuación muy precisa sobre la severidad de una vulnerabilidad para una organización concreta.
6.1. CVSS-BTE: Entender el riesgo de una vulnerabilidad
Este análisis completo se denomina CVSS-BTE (Base, Threat, Enviroment) y ofrece una panorámica amplia sobre una vulnerabilidad, teniendo en cuenta el panorama de amenazas y las características, recursos y objetivos de negocio de la organización que debe mitigarla.
El equipo que ha confeccionado la nueva versión de este sistema para evaluar las vulnerabilidades sostiene que CVSS-B, es decir, un análisis que incluya solo las métricas base, sirve para observar la severidad técnica de una vulnerabilidad y solo tiene en cuenta las características de dicha vulnerabilidad. Por ello, no es recomendable que la toma de decisiones sobre la mitigación de vulnerabilidades se base únicamente en este tipo de evaluación.
En cambio, CVSS-BTE permite entender el riesgo concreto de una vulnerabilidad para una organización, ya que contempla las amenazas reales vinculadas a una vulnerabilidad, a través de los servicios de Threat Intelligence, y la criticidad para el entorno de una explotación exitosa de la vulnerabilidad.
De esta forma, CVSS v4 reivindica que la razón de ser de esta herramienta y el motivo por el que se ha convertido en un estándar global es que resulta muy útil para gestionar las vulnerabilidades y acometer su mitigación con la máxima eficacia, teniendo en cuenta la realidad y las prioridades de cada organización.
CVSS v4 supone un paso más en la evolución de un indicador clave para ayudar a las compañías a mejorar su resiliencia frente a los ciberataques.
6.2. Recomendaciones para evaluar las vulnerabilidades
En su versión final, CVSS v4 incorpora una serie de recomendaciones para ayudar a los profesionales y las empresas a emplear esta herramienta.
6.2.1. Cómo enriquecer los resultados del escaneo de vulnerabilidades
- Integrar los resultados del escaneo de vulnerabilidades con la gestión de los activos empresariales. Lo que permitirá emplear las métricas de entorno y facilitará la remediación de las vulnerabilidades identificadas.
- Incorporar a los resultados del escaneo de vulnerabilidades, la información proporcionada por los profesionales de Threat Intelligence. Puesto que dicha información permitirá usar la métrica de madurez de la explotación, de tal manera que la puntuación de CVSS v4 será más precisa para priorizar las vulnerabilidades.
6.2.2. Clarificación de conceptos y casos de uso
- Tener en cuenta que las métricas de confidencialidad e integridad giran en torno a los posibles impactos en los datos utilizados por un servicio. Mientras que la métrica de disponibilidad se centra en el rendimiento y el funcionamiento del servicio en sí mismo.
- Se clarifican los conceptos para evaluar ataques locales.
- FIRST incluye en la guía de uso una serie de ejemplos para entender la relación entre los sistemas vulnerables y los sistemas subsecuentes.
6.2.3. Usar CVSS v4 para ir un paso más allá en la evaluación de vulnerabilidades
- Aunque CVSS v4 es una herramienta diseñada para evaluar vulnerabilidades de forma individual, es posible analizar una cadena de vulnerabilidades. Los analistas deben detectar qué vulnerabilidades están interrelacionadas, evaluarlas por separado y, luego, combinar los resultados confeccionando un único vector que represente a las vulnerabilidades encadenadas.
- La guía de uso informa a los profesionales sobre cómo emplear CVSS v4 para evaluar el impacto de una vulnerabilidad en una librería.
- Además, también es posible obtener múltiples puntuaciones de CVSS Base para una única vulnerabilidad en función de las versiones de producto, plataformas o sistemas operativos en las que esté presente.
En definitiva, CVSS v4, cuya publicación definitiva tendrá lugar en los próximos meses, actualiza las métricas que sirven para medir la severidad de las vulnerabilidades IT, para abarcar más aspectos a tener en cuenta en la gestión de vulnerabilidades, aumentar el nivel de personalización de la herramienta y poner el foco en aspectos tan cruciales como la seguridad física de las personas.
Este artículo forma parte de una serie de articulos sobre Evaluación de vulnerabilidades
- CVSS: Poniéndole nota a las vulnerabilidades IT
- EPSS: ¿Cuál es la probabilidad de que se explote una vulnerabilidad?
- SSVC: Cómo tomar decisiones sobre las vulnerabilidades IT
- CVSS v4: Evaluar las vulnerabilidades para priorizar su mitigación