| 6 min de lectura
Los incidentes de ciberseguridad van en aumento, lo que hace evidente la falla en el enfoque tradicional que guía la forma de priorizar la gestión de riesgos. Por ello, las organizaciones de todo el mundo necesitan urgentemente alternativas que brinden información útil que les ayude a tomar mejores decisiones en cuanto a la ciberseguridad. Con el fin de contribuir a resolver este problema, proponemos nuestra métrica CVSSF. Se trata de un valor basado en la exposición al riesgo que permite a las organizaciones mejorar la priorización de vulnerabilidades para su remediación. Y principalmente, les proporciona una medida más precisa de su estatus de seguridad. En este artículo hablaremos de las motivaciones detrás de esta métrica y de la evidencia de su valor.
Fallas de la medición tradicional del riesgo en ciberseguridad
Las ciberamenazas para las organizaciones de todo el mundo siguen creciendo. El número de dispositivos conectados a la Internet es cada vez mayor. Por lo tanto, las superficies de ataque de las organizaciones (es decir, los puntos de exposición de los sistemas informáticos a fuentes no fiables) son mayores, junto con las posibilidades de ser vulneradas. La explotación de vulnerabilidades críticas individuales en software de terceros amenaza con perturbar seriamente las cadenas de suministro. Los atacantes siguen poniendo en peligro un gran número de registros. Y todo ello mientras el costo promedio de una brecha de datos sigue batiendo récords.
Las amenazas anteriores son cosas con las que toda organización tiene que lidiar en su camino hacia la creación de valor para sus clientes. En resumen, aspirar al éxito es una empresa arriesgada. De hecho, la gestión del riesgo es posiblemente la cuestión más importante a resolver en ciberseguridad. En consecuencia, los estándares y marcos de fuentes reconocidas (p. ej.,NIST, ISO) dan a las empresas una buena idea de los controles para mitigar el riesgo. Sin embargo, la gran cantidad de ciberataques con éxito sugiere que la forma en que las empresas están priorizando la mitigación del riesgo no está funcionando.
¿Cuál es el enfoque erróneo de la gestión de riesgos en ciberseguridad? Bueno, la mayoría de las empresas utilizan puntuaciones y mapas de riesgo de estándares conocidos. Este enfoque tradicional, por supuesto, tiene en cuenta que las vulnerabilidades difieren según el grado en que afectarían a un sistema si fueran explotadas.
Un indicador es la puntuación en Common Vulnerability Scoring System (CVSS) utilizada extensamente para comunicar las características y la severidad de las vulnerabilidades. Básicamente, cuantifica la explotabilidad, el alcance y el impacto de la vulnerabilidad. Esa es la puntuación de base, que se ajusta posteriormente mediante variables temporales y del entorno. El resultado es un valor de severidad entre 0,0 y 10,0. Y lo que es más importante, este rango se desglosa en una escala cualitativa de calificación de la gravedad, en la que 0,0 = ninguna; 0,1 - 3,9 = baja; 4,0 - 6,9 = media; 7,0 - 8,9 = alta, y 9,0 - 10,0 = crítica.
Los productos de escaneo de vulnerabilidades suelen proporcionar las puntuaciones CVSS de las vulnerabilidades detectadas. Se supone que esta información ayuda a organizaciones a reducir su incerteza frente al estado de su seguridad y qué remediar primero.
Generalmente, lo que viene a la mente es la agrupación de vulnerabilidades mediante la suma de las puntuaciones CVSS cuantitativas. Esto representa una dificultad. Podríamos tener diez vulnerabilidades con una puntuación de 1,0 cada una, y no representarían el mismo riesgo que una de 10,0. Del mismo modo, el éxito en la remediación de esas diez vulnerabilidades no debería considerarse tan valioso como el de la remediación de esa única falla crítica. Esto plantea la siguiente posibilidad.
Diez vulnerabilidades de CVSS 1,0 no equivalen a una vulnerabilidad de CVSS 10,0.
Supongamos, en cambio, que sumamos el número de vulnerabilidades por sus puntuaciones cualitativas en CVSS. Entonces, podríamos llevar un recuento de, digamos, vulnerabilidades de severidad baja, media, alta y crítica que trataríamos de abordar por separado. Este enfoque daría una visión complicada del estado de seguridad del sistema, ya que no estaría unificado. Esto se podría tolerar. Pero una falla básica es que la segmentación de las puntuaciones CVSS en niveles cualitativos es arbitraria. Por ejemplo, una vulnerabilidad se considera crítica solo si se le ha dado una puntuación de al menos 9,0, por lo que una que recibe una puntuación de 8,9 es "solo" de severidad alta. Esa diferencia de 0,1 es la que supondría la priorización de la primera, mientras que podrían estar amenazando al sistema con un grado de riesgo bastante similar.
La métrica de Fluid Attacks basada en la exposición al riesgo
En Fluid Attacks reconocemos las limitaciones del enfoque tradicional. Proponemos una nueva métrica para contribuir a medir el riesgo de forma más precisa, proporcionando información sobre el estado de seguridad del sistema con la que las organizaciones puedan mejorar su priorización en la remediación de vulnerabilidades.
Nuestra propuesta consiste en un sencillo algoritmo para averiguar la exposición al riesgo (es decir, hasta qué punto un sistema es vulnerable a ciberataques exitosos). Lo denominamos métrica CVSSF, ya que toma la puntuación base CVSS y la ajusta para mostrar la naturaleza exponencial de severidad. "F" significa "à la Fluid Attacks". La fórmula es la siguiente:
En esta fórmula, la constante P significa "proporcionalidad". Determina cuántas vulnerabilidades con una puntuación base en CVSS equivalen a una vulnerabilidad con una unidad más de puntuación base en CVSS. Esto puede determinarlo cada organización. Pero ¿qué han observado nuestros pen testers? Han llegado a un consenso para dar a P un valor de 4. Se puede entender de la siguiente manera: "Cuatro vulnerabilidades de una puntuación base CVSS de 9,0 equivalen a una de 10,0". En cuanto a la constante R, que significa "rango", restringe los valores del CVSSF a los que la organización se sienta cómoda utilizando. De nuevo, recomendamos utilizar 4.
Nuestro ajuste por proporcionalidad nos permite dar visibilidad a las vulnerabilidades más riesgosas de un sistema. Utilizando la ilustración de la escala mostrada anteriormente como ejemplo, esas diez vulnerabilidades de la izquierda equivalen en conjunto a un CVSSF de 0,2. Y la vulnerabilidad de la derecha tiene un CVSSF de 4.096,0.
Beneficios del CVSSF
Es posible que las vulnerabilidades de mayor riesgo no aparezcan con tanta frecuencia como las de severidad baja o media, por lo que cuando se agregan todas siguiendo el enfoque tradicional, la importancia de las más riesgosas podría quedar eclipsada. Cuando las organizaciones utilizan el CVSSF, pueden ver cómo se incrementa su exposición al riesgo agregado de forma más drástica de lo que lo haría en caso de que se notificara una vulnerabilidad de severidad alta a crítica en sus sistemas.
Un ejemplo: nuestro reporte State of Attacks 2022 documentó que el 98% de las vulnerabilidades que detectamos en los sistemas de nuestros clientes eran de una severidad baja o media en CVSS. Sin embargo, fue el 2% restante el que generó el 76% de la exposición al riesgo reportada. Se trató exclusivamente de vulnerabilidades de severidad alta o crítica en CVSS.
Así pues, las organizaciones que utilizan el CVSSF pueden priorizar rápidamente la remediación de las vulnerabilidades que representan una mayor exposición al riesgo. Si tienen éxito, esto haría que la exposición al riesgo agregada disminuya significativamente. Además, su incerteza sobre el estado de su seguridad puede reducirse enormemente, ya que tienen a su disposición un valor agregado preciso en el que pueden basar sus objetivos de éxito en ciberseguridad, y que pueden utilizar para predecir posibles pérdidas.
Fluid Attacks detecta la exposición al riesgo en tu sistema
En Fluid Attacks, ofrecemos Hacking Continuo, ayudando a nuestros clientes a conocer el estado de seguridad de sus sistemas a lo largo del ciclo de vida de desarrollo de software. Para ello, aprovechamos las pruebas de seguridad en fases tempranas y de forma continua mediante una combinación de automatización y el trabajo manual de nuestros hackers éticos.
Hemos comprobado que la implementación de nuestras pruebas de seguridad manuales (p. ej., pruebas de penetración) tiene un valor incalculable. En octubre de 2022, nuestros hackers reportaron alrededor del 80% de la exposición al riesgo atribuida a vulnerabilidades en los sistemas de nuestros clientes. Si los clientes dependieran únicamente de las herramientas, su gestión de riesgos se vería comprometida.
¿Quieres que evaluemos tu sistema? Proporcionamos las unidades CVSSF de cada problema de seguridad detectado en nuestra plataforma. También puedes ver la exposición al riesgo agregado, así como su gestión, a lo largo del tiempo, y compararla con la de las organizaciones con mejores resultados. Desde la plataforma, puedes asignar tareas de remediación a los desarrolladores de tu equipo, pedir asesoramiento a nuestros hackers y solicitar reataques para verificar la efectividad de tus esfuerzos de remediación.
Inicia hoy mismo tu prueba gratuita de 21 días de plan Essential de Hacking Continuo.
Nota: Para una presentación resumida de nuestra métrica CVSSF, descarga el white paper.
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Los robos de datos que dejaron su huella para siempre
