SSVC: Cómo tomar decisiones sobre las vulnerabilidades IT
Tabla de contenidos
SSVC es un sistema que ayuda a analizar las vulnerabilidades para tomar decisiones que contribuyan a prevenir incidentes de seguridad y contener sus consecuencias
La BBC, British Airways, el Departamento de Energía de Estados Unidos, PwC o Shell son algunas de las organizaciones afectadas por la explotación exitosa de una vulnerabilidad presente en el software de transferencia de archivos MoveIt. Estas compañías y administraciones públicas han tenido que hacer frente a una brecha de datos y el robo de información confidencial de clientes y trabajadores. Este ataque masivo pone de manifiesto la importancia de detectar, analizar y mitigar las vulnerabilidades IT presentes en la infraestructura de las compañías.
Para ayudarlas en esta compleja tarea, las empresas, instituciones públicas y compañías de ciberseguridad cuentan a su disposición con indicadores como CVSS, EPSS o SSVC. Este último sistema, creado por la Cybersecurity & Infraestructure Security Agency de Estados Unidos (CISA), en colaboración con la Carnegie Mellon University, una de las mejores universidades del mundo en el terreno de la ingeniería, busca facilitar la toma de decisiones sobre las vulnerabilidades. De tal forma que las organizaciones sean capaces de determinar cuándo deben:
- Rastrear una vulnerabilidad.
- Monitorearla de cerca.
- Prestar atención, involucrando a personal interno, solicitando la ayuda de especialistas y procediendo a mitigarla antes de los plazos de actualización estándar.
- Actuar para remediar la vulnerabilidad lo antes posible.
En este artículo, vamos a explorar las claves del sistema SSVC para desentrañar por qué puede ser útil para tomar decisiones relativas a la gestión de vulnerabilidades en infraestructuras IT.
1. SSVC, datos cualitativos para gestionar las vulnerabilidades IT
Comencemos por el principio, ¿qué significan las siglas SSVC? Stakeholder-Specific Vulnerability Categorization. Es decir, categorización de vulnerabilidades específicas de las partes interesadas. El propio concepto nos permite vislumbrar una característica fundamental de SSVC: su objetivo es evaluar las vulnerabilidades poniendo el foco en cómo su explotación exitosa puede impactar en una empresa o en una administración pública concreta, para, así, proceder a priorizar la mitigación de las diferentes vulnerabilidades.
Detrás de las siglas SSVC se esconde, también, un concepto clave para entender esta herramienta: las partes interesadas.
SSVC destaca tres grandes grupos de actores: proveedores que desarrollan los parches, empresas que adquieren software y deben aplicar los parches de seguridad para proteger su infraestructura IT, coordinadores de las acciones de remediación. En función de la posición en la cadena de suministro de software, una misma empresa puede ser o bien proveedor o bien aplicador. E, incluso, en caso de que una organización use software propio, conviven los dos perfiles dentro de la misma compañía.
Asimismo, según la CISA, el sistema SSVC para analizar las vulnerabilidades IT se asienta sobre tres pilares básicos:
- El estado de explotación de una vulnerabilidad.
- El impacto en la seguridad de una explotación exitosa.
- La prevalencia del activo IT afectado en un sistema empresarial concreto.
Estos tres pilares se trasladarán a los puntos de decisión que nos permiten determinar cómo se gestiona cada vulnerabilidad en un momento determinado.
Al igual que el Forum of Incident Response and Security Teams (FIRST) ha desarrollado calculadoras para ayudar a las empresas a usar sus indicadores CVSS y EPSS, CISA ha creado una calculadora que permite a las compañías y administraciones públicas tomar una serie de decisiones para dilucidar cómo gestionar la vulnerabilidad: rastreándola, monitoreándola, prestándole atención y solicitando asistencia o actuando lo más rápido posible.
2. Los puntos de decisión que marcan la toma de decisiones
Mientras que en CVSS es necesario estipular un valor para cada vector que conforman las métricas del indicador, en el caso de SSVC hay que elegir un valor para cada uno de los cuatro nodos del árbol de toma de decisiones. El valor que se escoja en cada punto de decisión sirve para configurar la rama del árbol o el vector SSVC, la representación gráfica de todos los valores escogidos a lo largo del proceso. El objetivo final es ayudar a una organización a decidir cómo actuar con respecto a una vulnerabilidad presente en su infraestructura IT.
2.1. Explotación
El primer punto de decisión de SSVC es el estado de explotación actual de la vulnerabilidad que se está analizando. A diferencia del indicador EPSS, SSVC no predice la probabilidad de explotación de la vulnerabilidad en el corto plazo, sino que se limita a analizar la información que se dispone sobre la capacidad de explotación de los actores maliciosos. Para ello, la organización debe emplear fuentes de información públicas, como la National Vulnerability Database (NVD), pero también servicios de Threat Intelligence para detectar la explotación efectiva de la vulnerabilidad.
En este punto de decisión SSVC, las organizaciones deben escoger entre tres valores:
- Ninguna. No existe evidencia de que se haya producido la explotación de la vulnerabilidad, ni de una prueba de concepto pública para explotarla.
- Prueba de concepto. Para escoger este valor, debe cumplirse alguno de los siguientes criterios:
- Se han detectado pruebas de explotación privadas, que aún no han sido compartidas públicamente.
- Existen rumores en el ámbito de la ciberseguridad sobre la explotación de esta vulnerabilidad.
- Se han encontrado pruebas de concepto en espacios como Metasploit.
- La metodología para explotar la vulnerabilidad es conocida.
- Activa. Se han recopilado pruebas fiables sobre la explotación de la vulnerabilidad por parte de actores hostiles y/o hay informes públicos al respecto.
2.2. Automatizable
Este punto de decisión del árbol SSVC busca responder a una pregunta de gran relevancia: ¿puede un actor hostil automatizar con éxito la puesta en marcha de ciberataques para explotar esta vulnerabilidad?
La organización que esté usando SSVC para tomar decisiones sobre la gestión de vulnerabilidades IT deberá responder a esta pregunta y seleccionar:
- No. Cuando los primeros cuatro pasos de la Cyber Kill Chain (reconocimiento, preparación, distribución y explotación) no se pueden automatizar para explotar la vulnerabilidad. Entre los posibles motivos, SSVC incluye la existencia de barreras en el sistema que se busca atacar, como configuraciones de seguridad de red que bloquean la entrega o el uso de técnicas de prevención de exploits.
- Sí. Cuando las primeras cuatro etapas de la Cyber Kill Chain sí se pueden automatizar con éxito. SSVC indica que esto puede suceder cuando la vulnerabilidad permite la ejecución remota de código o la inyección de comandos.
¿Cómo se determina si es viable la automatización de la explotación? El analista de ciberseguridad que realiza la evaluación de la vulnerabilidad empleando SSVC debe analizar detenidamente las cuatro primeras etapas de la Cyber Kill Chain para rastrear rutas de ataque viables en el escenario que se está analizando y con la información que se dispone sobre la vulnerabilidad y el estado de explotación.
2.3. Impacto técnico
La propia guía de SSVC equipara este punto de decisión con las métricas base de CVSS, puesto que ambos pivotan en torno al concepto de severidad de la explotación de una vulnerabilidad. En el caso de SSVC el objetivo es dilucidar el alcance de la explotación. O, dicho de otra forma, el nivel de control sobre el sistema que adquiere el actor hostil que explota con éxito la vulnerabilidad evaluada.
Al igual que en el punto de decisión anterior, el analista de ciberseguridad debe escoger entre dos valores:
- Parcial. La explotación otorga al atacante un control o una información limitados sobre el comportamiento del software vulnerable. Además, el actor hostil tiene una oportunidad muy baja para lograr el control total del software. Un ejemplo de control limitado del comportamiento de un componente que presenta una vulnerabilidad es el ataque de denegación de servicio.
- Total. Mediante la explotación de la vulnerabilidad, el actor hostil puede conseguir el control total sobre el comportamiento del software o acceder a toda la información del sistema en el que está presente la vulnerabilidad.
2.4. Misión y bienestar público
Aunque pueda parecer una perogrullada, en el último punto de decisión, en realidad, se han de tomar dos decisiones que permitirán llegar a la decisión final.
2.4.1. Prevalencia de la misión
En primer lugar, es necesario analizar lo que SSVC denomina como prevalencia de la misión. Es decir, si la vulnerabilidad afecta a un componente clave para la continuidad de negocio o para cumplir misiones esenciales como la protección de la infraestructura crítica.
En lo relativo a la prevalencia de la misión, los analistas de seguridad pueden decidir entre tres valores:
- Mínimo. El componente afectado por la vulnerabilidad no es esencial para una misión.
- Apoyo. El componente solo apoya misiones esenciales.
- Esencial. El componente directamente provee capacidades que constituyen por lo menos una misión esencial. Un fallo en este componente puede conducir al fallo de la misión. Por ejemplo, garantizar la continuidad de negocio.
2.4.2. Bienestar público
En segundo lugar, es necesario determinar cómo la explotación de la vulnerabilidad puede afectar a las personas. En este caso, los valores a escoger son:
- Mínimo. Los efectos de un incidente de seguridad son menores a nivel de: daño físico, ambiental, financiero y psicológico.
- Material. Cuando se causa algún daño de relevancia en los ámbitos señalados antes.
- Irreversible. Cuando se pueden producir daños de enorme gravedad como víctimas mortales, amenaza para la salud pública, daños medioambientales que provoquen el colapso de un ecosistema o desestabilización de elecciones y sistemas financieros.
Los valores de estas dos decisiones se acumulan para tomar la última decisión y escoger entre tres valores:
- Bajo. Cuando el impacto en el bienestar y en la prevalencia de la misión es mínimo.
- Medio. Cuando el componente afectado por la vulnerabilidad sirve de apoyo a una misión esencial y el impacto de la explotación puede ser calificado como material.
- Alto. El componente es esencial para la prevalencia de la misión y/o el impacto en el bienestar público es irreversible.
3. Las 36 ramas del árbol SSVC para no perderse en el bosque de las decisiones
Los puntos de decisión funcionan como nudos del árbol SSVC, dando paso a su ramificación. En su versión 2, el árbol SSVC está conformado por 36 ramas. Es decir, 36 escenarios diferentes que se configuran a medida que se van tomando decisiones. Al final de cada una de las ramas se encuentra la acción a tomar para gestionar la vulnerabilidad, que, como ya señalamos antes, puede ser de cuatro tipos, que van desde el mero rastreo hasta la necesidad de actuar inmediatamente para mitigar la vulnerabilidad en el menor tiempo posible.
3.1. ¿Es necesario actualizar de forma inmediata?
La versión 2 de SSVC, publicada a finales de 2022, incluye cuatro colores para visualizar el nivel de peligrosidad de una vulnerabilidad para una compañía o administración pública concreta:
- Verde – Rastrear. Hasta 18 ramas del árbol SSVC concluyen en esta acción. 15 de estas ramas surgen de la valoración de que la explotación o bien no es automatizable o bien existe una prueba de concepto, pero aún no se han recopilado evidencias de que se hayan puesto en marcha ataques capaces de automatizar las primeras cuatro fases de la Cyber Kill Chain.
- Amarillo – Monitorear de cerca. Para cuatro ramas del árbol o vectores SSVC se recomienda esta acción.
- Naranja – Atender. En 10 de los 36 escenarios de tomas de decisiones de SSVC se recomienda atender a la vulnerabilidad, involucrando a personal interno y solicitando asistencia externa si fuese necesario.
- Rojo – Actuar de forma inmediata. En solo cuatro escenarios se recomienda actuar con la máxima celeridad posible. ¿Cómo se llega a esta decisión final? Tras constatar que se puede automatizar la explotación de la vulnerabilidad y tiene un impacto técnico elevado que afecta a operativas esenciales de la compañía o al bienestar de las personas; o bien, el impacto técnico solo es parcial, pero las consecuencias para a organización y el bienestar público son elevadas.
En el caso de que la organización sea un proveedor IT, si se recomienda actuar de forma inmediata deberá desarrollar un parche en el menor tiempo posible para mitigar la vulnerabilidad. Mientras que, si la recomendación es de color naranja, ha de acelerar los ritmos de actualización habituales. En cambio, si se trata de una empresa o una institución que emplea software de terceros, en caso de que la evaluación recomienda actuar ya, ha de aplicar de forma inmediata el parche que mitiga la vulnerabilidad.
4. Evaluar la dificultad de mitigar una vulnerabilidad
Más allá de los puntos de decisión que marcan la evolución del árbol de decisiones SSVC, la guía elaborada por CISA pone el foco sobre otro aspecto a tener en cuenta: el estado de mitigación de la vulnerabilidad.
CISA señala que la dificultad de mitigar una vulnerabilidad no debe ser un elemento a tener en cuenta a la hora de tomar decisiones para gestionarla, pero es indispensable evaluar esta cuestión, ya que influirá directamente en la capacidad de actuar de la organización.
Por ello, se contemplan tres factores para evaluar el nivel de dificultad que conllevaría mitigar una vulnerabilidad:
- Disponibilidad. ¿El parche o forma de mitigar la vulnerabilidad está públicamente disponible o no?
- Dificultad de cambiar el sistema. ¿El sistema cuenta con un proceso de actualización integrado y la mitigación no conlleva interrumpir la función normal del componente vulnerable? De ser así, la dificultad será baja. Si, por el contrario, se cumple alguna de estas condiciones la dificultad será alta:
- a. El sistema no tiene un proceso de actualización integrado.
- b. Aplicar la mitigación conllevará un tiempo de inactividad del componente vulnerable.
- c. Tras la mitigación, la funcionalidad del sistema se verá reducida.
- d. El entorno normativo puede impedir la mitigación.
- Tipo de mitigación. ¿La mitigación se trata de un parche oficial que remedia la vulnerabilidad? O, en cambio, solo sirve para prevenir la explotación, sin parchear la vulnerabilidad en sí misma o consiste en reconfigurar el componente vulnerable.
5. SSVC, CVSS y EPSS: Estándares globales para evaluar las vulnerabilidades IT y actuar en consecuencia
SSVC no es el sistema definitivo para categorizar las vulnerabilidades, sino una herramienta más al servicio de los analistas de ciberseguridad, las compañías y las administraciones públicas. Los investigadores del Software Engineering Institute de la Carnegie Mellon University defienden en un artículo centrado en presentar la versión 2 de SSVC que este sistema busca complementar al indicador CVSS, un estándar global en la evaluación de vulnerabilidades IT.
Mientras CVSS se centra en medir el nivel de severidad técnica de una vulnerabilidad, SSVC busca diseccionar el proceso de toma de decisiones para optimizarlo y gestionar las vulnerabilidades con éxito. Ello se traduce en el hecho de que en CVSS, las métricas de entorno y de amenaza son solo opciones, de tal forma que se puede obtener la puntuación CVSS cumplimentando, solo, las métricas base. En cambio, en SSVC el entorno y el estado actual de la amenaza forman parte intrínseca de la toma de decisiones.
Si bien, cabe precisar que CVSS v4, que viene de hacerse público, incide en la necesidad de que las organizaciones también usen las métricas de entorno y de amenaza cuando emplean el estándar para medir la severidad de una vulnerabilidad.
Por otro lado, el uso de SSVC también puede combinarse con el manejo de otro indicador desarrollado por FIRST, EPSS, centrado en evaluar la probabilidad de explotación de una vulnerabilidad en los próximos 30 días. Así como CVSS puede ser de gran utilidad para evaluar el impacto técnico de una vulnerabilidad, EPSS facilita la evaluación de su estado de explotación.
De tal forma que tanto CVSS como EPSS pueden enriquecer la toma de decisiones a través del árbol SSCV.
6. Gestión de vulnerabilidades IT, un must para las empresas hoy en día
La existencia de metodologías como SSVC evidencia la relevancia que han adquirido los servicios de gestión de vulnerabilidades IT en la actualidad. Hasta el punto de que la gestión de vulnerabilidades que afectan a las infraestructuras corporativas se ha convertido en una pieza esencial en las capas defensivas de cualquier compañía.
Al fin y al cabo, en lo que va de año se han descubierto ya casi 15.000 nuevas vulnerabilidades. Sin embargo, no todas ellas presentan el mismo nivel de severidad ni su potencial explotación afecta de igual forma a todas las compañías o administraciones. De ahí que sea fundamental gestionarlas para administrar los recursos técnicos, económicos y humanos de forma eficiente y priorizar la mitigación de las vulnerabilidades que pueden afectar en mayor medida a cada organización y su modelo de negocio.
El servicio de gestión de vulnerabilidades ha de llevar a cabo una monitorización continua del estado de seguridad de la infraestructura tecnológica, poniendo el foco en la priorización de las labores de mitigación y en la elaboración de planes de acción que minimicen la exposición de una empresa ante las amenazas.
6.1. Del descubrimiento a la verificación
Los profesionales de ciberseguridad de Tarlogic acometen todas las fases de la gestión de vulnerabilidades:
- Descubrimiento activo de vulnerabilidades que afectan a activos IT de la compañía, mediante la monitorización permanente y la recopilación de información sobre vulnerabilidades emergentes.
- Análisis de las vulnerabilidades, empleando una metodología propia, fruto de la experiencia acumulada durante más de una década. En esta fase se usan indicadores como SSVC, CVSS o EPSS para optimizar y estandarizar la evaluación de vulnerabilidades.
- Reporting. Se elaboran informes con los resultados del análisis, proponiendo la priorización de las medidas de mitigación de las vulnerabilidades detectadas.
- Remediación. Se ponen en marcha las acciones necesarias para mitigar las vulnerabilidades
- Verificación. Se comprueba que la mitigación se ha realizado de forma exitosa.
En definitiva, la gestión de vulnerabilidades es una actividad central dentro de la estrategia de seguridad de cualquier empresa en la era digital. De ahí que organizaciones de referencia a nivel global como FIRST o CISA hayan desarrollado herramientas e indicadores como SSVC que ayudan a los profesionales de ciberseguridad y a las compañías a evaluar las vulnerabilidades y optimizar la toma de decisiones para mitigarlas de forma eficaz y prevenir incidentes de seguridad que pueden generar daños económicos, legales, reputacionales e, incluso, afectar al bienestar de las personas.
Este artículo forma parte de una serie de articulos sobre Evaluación de vulnerabilidades
- CVSS: Poniéndole nota a las vulnerabilidades IT
- EPSS: ¿Cuál es la probabilidad de que se explote una vulnerabilidad?
- SSVC: Cómo tomar decisiones sobre las vulnerabilidades IT
- CVSS v4: Evaluar las vulnerabilidades para priorizar su mitigación