En medio del caos en el escenario mundial, el contexto macroeconómico está lleno de incertidumbres. Pero hay una cosa de la que estamos absolutamente seguros: las soluciones de seguridad cibernética se volverán mucho más prominentes en los próximos meses y años a medida que la guerra cibernética global prepare el escenario para la elevación permanente de la seguridad cibernética tanto a nivel nacional como corporativo.
Las empresas y los gobiernos están siendo pirateados sin piedad en 2022. Incluso los gigantes de la ciberseguridad como Entrust están siendo violados. La firma reveló que partes de su sistema fueron pirateadas el 18 de junio. Antes de eso, Okta fue atacada, lo que afectó a más de 366 de sus clientes corporativos.
Eso es solo rascar la superficie en medio de un cambio radical en el que las soluciones de ciberseguridad pasan de ser "opcionales" a "necesarias". Este cambio comienza hoy, pero se desarrollará durante los próximos años. Mientras lo hace, el gasto global en ciberseguridad se acelerará sustancialmente. También lo será la necesidad de comprender el Sistema de puntuación de vulnerabilidad común ( CVSS ).
Exploremos cómo funciona el sistema de puntuación e incluso cómo no funciona.
El Common Vulnerability Scoring System es un sistema de puntuación de vulnerabilidades creado por FIRST.org . CVSS comunica la gravedad de las vulnerabilidades a través de tres métricas de nivel superior: base , temporal y ambiental:
En el nivel básico, verá una puntuación que oscila entre 0 y 10 (pero puede modificarse según las puntuaciones en las otras categorías). Los factores base, en pocas palabras, representan las características de la vulnerabilidad. Los puntajes básicos de CVSS están disponibles, ya que las empresas pueden usarlos como punto de partida para priorizar las amenazas.
CVSS puede crear un camino hacia una puntuación de vulnerabilidad precisa y consistente, por lo que se utiliza como estándar de medición. En este momento, CVSSv3.1 es el que más se usa, aunque no todos tienen cosas buenas que decir al respecto (hablaremos de eso en un momento).
Por ahora, centrémonos en cómo funciona CVSS, comenzando con su metodología de puntuación que va de 0,0 a 10,0 en incrementos de 0,1.
Como sistema, los dos casos de uso más frecuentes son 1) calcular y clasificar las amenazas en función de la gravedad del impacto en el entorno de su sistema y 2) priorizar qué vulnerabilidades remediar primero .
Aquí es donde se pone complejo. Por ejemplo, CVSSv3.1 utiliza un "Vector de acceso" para representar la gravedad de la vulnerabilidad en función de la dificultad de conectarse a un sistema en un entorno de destino.
Analicemos eso considerando dos situaciones: una en la que muchos miles ejecutan ese sistema a través de una red y una segunda en la que muy pocos ejecutan un sistema que requiere una adyacencia física para explotar. La segunda situación calificaría como menos grave que la situación que depende del acceso a la red.
Pero hay muchas variables a considerar. Por ejemplo, las variables de vector de acceso incluyen red, adyacente, local y física. Y hay muchos más niveles, que exploraremos en futuros artículos de CVSS.
La parte importante en la que hay que centrarse es en las permutaciones de las partituras. Es decir, ¿hay una puntuación única para cada combinación de variables posible? En resumen, no. Hay aproximadamente 101 valores para mapear niveles de variables y más de 2,000 variables posibles.
Además, las métricas base de CVSS comprenden tres subpuntuaciones: explotabilidad , alcance e impacto . Dentro de estas subpuntuaciones hay varios subcomponentes más, que difieren según la subpuntuación. Por ejemplo, la puntuación de "impacto" se centra en el resultado que se podría lograr con una explotación exitosa y aprovecha la confidencialidad (a la cantidad de datos a los que tiene acceso el atacante), la integridad (la capacidad del atacante para editar datos) y la disponibilidad (si impacta el uso de los sistemas para un número grande o pequeño de usuarios).
También hay métricas "temporales" que pueden cambiar con el tiempo. Como tales, están destinados a medir qué tan explotable es una vulnerabilidad en este momento y la disponibilidad de factores de remediación. Como tal, las métricas temporales de CVSS contienen varios subniveles, incluidos los siguientes:
Madurez del código de explotación: qué tan estable/maduro es el código utilizado para explotar una vulnerabilidad en particular.
Nivel de remediación: qué tan ampliamente disponibles están los parches y otras soluciones a lo largo del tiempo.
Informe de confianza: la validez de la vulnerabilidad y su explotación.
Con las métricas ambientales, la puntuación básicamente modifica el grupo base según las características de una empresa en particular que pueden aumentar o disminuir la gravedad de una vulnerabilidad en particular. Los subniveles que componen el grupo ambiental son los siguientes:
Métricas base modificadas: aquí se tienen en cuenta las organizaciones con controles de compensación o mitigación. Por ejemplo, ¿la vulnerabilidad se encuentra dentro de un servidor protegido por firewall? ¿Está dentro de un servidor no utilizado y desconectado? ¿O está dentro de un servidor conectado a Internet con exposición pública? Este último es de las consecuencias más graves en relación con los dos anteriores.
Requisitos de seguridad: estos miden la "criticidad comercial" de un activo en términos como "confidencialidad", "integridad" y "disponibilidad". La confidencialidad se refiere a si la información se puede ocultar a los usuarios no autorizados. La integridad se refiere a la capacidad de proteger la información para que no sea alterada. Disponibilidad significa qué tan accesible es la información para los usuarios autorizados.
Reconociendo que solo estamos rascando la superficie de lo que es CVSS y cómo se usa para priorizar las vulnerabilidades, sería negligente no mencionar cuán limitada es la puntuación base para tener en cuenta las vulnerabilidades del mundo real y otros factores atenuantes.
Las críticas comunes al sistema de puntuación de vulnerabilidad generalmente comprenden dos grupos, que incluyen críticas al CVSS como método de identificación de riesgos y críticas al CVSS como sistema de puntuación. Entremos en algunas quejas específicas…
El Vector de Ataque no está bien definido. Por ejemplo, surgen paradojas cuando considera el estado de vulnerabilidad de un PDF, ya que aparece como "local" si se descarga y abre en un navegador, pero aparece como "red" si se abre inmediatamente en un navegador.
Los criterios de Complejidad del Ataque se superponen con la puntuación Temporal. Los cambios a lo largo del tiempo están destinados a ser aislados por la puntuación Temporal; sin embargo, la puntuación base tiende a evolucionar a medida que un exploit pasa de la hipótesis al mundo real. Se supone que eso solo sucede en la partitura Temporal.
El concepto de “Alcance” es confuso. Esto se debe a que se utilizan diferentes ecuaciones según el nivel de alcance que esté en riesgo.
Los niveles de granularidad "alto" y "bajo" para la complejidad del ataque son insuficientes. Compare eso con CVSSv2, que tenía tres niveles de "Complejidad de acceso".
CVSSv3.1 obtiene puntuaciones más altas que la versión 2. Esto aumenta la carga de trabajo de los administradores.
Estas son solo algunas de las muchas críticas a CVSS, pero se pueden encontrar otras.
Quizás la crítica más importante radica en cómo los sistemas de puntuación deben compensar la forma en que prioriza las amenazas, pero no debe ser la única parte.
Como tal, muchas empresas hacen mal uso de CVSS como una clasificación de riesgo. Por ejemplo, CVSS no tiene en cuenta gran parte del contexto de las vulnerabilidades, como la forma en que se pueden encadenar, ni evalúa el impacto de una manera que tenga sentido sobre cómo las personas pueden verse afectadas por una vulnerabilidad.
Las críticas o no, la disidencia es lo que conduce a las mejoras en el futuro, que muy probablemente veremos en la próxima iteración de CVSS. Sin embargo, por lo que he podido deducir de mis lecturas, es probable que CVSSv4 no se aparte de sus predecesores de manera significativa. Es decir, su construcción central permanecerá en su lugar, y muchos de los cambios propuestos comprenden principalmente el ajuste/adición de variables y sus valores.
A medida que avanzamos hacia el futuro, y dado que todos los puntos de datos y flujos de trabajo del mundo existen en una computadora en algún lugar, proteger esos sistemas a través de soluciones de ciberseguridad será cada vez más vital. En otras palabras, una industria que alguna vez fue un nicho se ha convertido en un floreciente negocio de más de $ 150 mil millones que constituye docenas de empresas multimillonarias.
Hasta la fecha, esta industria ha experimentado un crecimiento asombroso. Pero no es nada comparado con lo que vendrá durante la próxima década.
La pandemia de COVID-19 aceleró la adopción digital global. Tal aceleración provocó un aumento en el volumen de datos digitales y flujos de trabajo que necesitaban seguridad. Y en respuesta a ese aumento, los países y las empresas aumentaron significativamente su gasto en sistemas de ciberseguridad en 2021.
Pero el conflicto en Europa del Este ha añadido una tonelada más de leña al fuego.
La realidad es que la guerra entre Rusia y Ucrania (o, quizás cada vez con mayor precisión, el resto del mundo) ha enfatizado que la guerra moderna es ciberguerra .
Y solo se intensificará a partir de aquí.
A medida que lo haga, también lo hará la necesidad de educación en torno a los sistemas de puntuación y cómo usarlos mejor en el contexto del entorno específico de su empresa. Por ejemplo, usamos varios sistemas de puntuación para establecer una línea de base para la criticidad, pero es importante considerar cómo puede cambiar esa puntuación dependiendo de su empresa.
Muchas empresas de gestión de vulnerabilidades no tienen en cuenta ese contexto, y eso es un gran error. Tenemos la esperanza de que la próxima iteración de CVSS aborde tales limitaciones... pero aun así, siempre seguirá siendo importante hasta cierto punto considerar contextos específicos y ajustar cómo se deben priorizar sus amenazas.