¿Qué es el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS)?

El Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) es un marco muy utilizado para clasificar y calificar las vulnerabilidades de software.
 

A través de este marco abierto, las organizaciones pueden calcular una puntuación CVSS, que es una puntuación numérica que representa la gravedad de una vulnerabilidad. Las características de una vulnerabilidad que han contribuido a la puntuación CVSS se representan en una cadena de texto conocida como cadena de vectores CVSS.

Ha habido varias versiones de CVSS desde 2005. La versión más reciente, CVSS v4.0, se lanzó en 2022. El grupo sin ánimo de lucro First.org, Inc., también conocido como Forum of Incident Response and Security Teams, gestiona este marco.

CVSS es una herramienta importante para la gestión de vulnerabilidades, que es el descubrimiento, priorización y resolución continuos de vulnerabilidades de seguridad en la infraestructura de TI y el software de una organización. Identificar y resolver errores y debilidades de ciberseguridad, como configuraciones erróneas de firewall y errores sin parches, es crítico para garantizar la funcionalidad completa de la infraestructura y el software de TI.

Las medidas de resolución pueden incluir:

• Corrección: garantizar que una vulnerabilidad ya no pueda ser explotada.
  
  
• Mitigación: hacer que una vulnerabilidad sea más difícil de explotar y, al mismo tiempo, reducir el impacto potencial de su explotación.
  
  
• Aceptación: dejar una vulnerabilidad en su lugar si es poco probable que sea explotada o causaría poco daño.

Dada la complejidad de los sistemas de TI actuales y su gran volumen de vulnerabilidades y ciberamenazas, determinar qué problemas abordar y resolver primero puede resultar difícil para los administradores de TI.

Ahí es donde CVSS resulta valioso: proporciona a los gestores de TI un enfoque sistemático para evaluar la gravedad de una vulnerabilidad, ayudando a fundamentar sus decisiones sobre la priorización y planificación de resoluciones de vulnerabilidades para los sistemas afectados¹.

Las puntuaciones CVSS se pueden incorporar a las evaluaciones de riesgos, pero una evaluación CVSS por sí sola no debe utilizarse en lugar de una evaluación de riesgos integral, según FIRST.org. Las guías de usuario de CVSS aconsejan que las evaluaciones exhaustivas incluyan factores fuera del alcance de CVSS².

CVSS comenzó como un proyecto de investigación encargado por el National Infrastructure Advisory Council (NIAC) en 2003. En aquella época, el panorama de las evaluaciones de vulnerabilidad del software estaba muy desarticulado: Los proveedores de seguridad informática y los grupos sin ánimo de lucro utilizaban procedimientos y métricas diferentes, lo que daba lugar a una serie de sistemas de puntuación únicos, a menudo patentados, incompatibles entre sí³. Esta incongruencia dificultaba la colaboración entre los equipos de seguridad de distintas organizaciones⁴.

Los investigadores del NIAC crearon CVSS para estandarizar las evaluaciones de vulnerabilidades. Lo diseñaron para que fuera un sistema abierto que pudiera ser adaptado y adoptado por diferentes sistemas y entornos informáticos⁵.

CVSS v4.0 consta de cuatro grupos de métricas⁶.

• Básica
• Amenaza
• Medioambiental
• Suplementarias

Estos grupos de métricas representan diferentes características y cualidades de las vulnerabilidades del software. Bajo el marco CVSS v4.0, los grupos se pueden describir de la siguiente manera:

Las métricas básicas representan las cualidades intrínsecas de las vulnerabilidades que son constantes en los entornos de los usuarios y a lo largo del tiempo. Las métricas básicas constan de dos conjuntos, métricas de explotabilidad e impacto.

Las métricas de explotabilidad indican con qué facilidad se puede explotar con éxito una vulnerabilidad. Algunos ejemplos de métricas de explotabilidad son:

• Medidas de cuánta interacción del usuario necesita un atacante para explotar una vulnerabilidad
  
  
• Si un atacante puede acceder a un sistema local o remotamente (“vector de ataque”)
  
  
• Qué nivel de privilegios necesita un atacante para tener éxito ("privilegios necesarios")
  
  
• Si se necesitan condiciones específicas o conocimientos avanzados para llevar a cabo un ataque ("complejidad del ataque")

Las métricas representan los resultados de una explotación exitosa, el impacto en un sistema vulnerable (como una aplicación de software o un sistema operativo) y los impactos posteriores en otros sistemas. Algunos ejemplos de métricas de impacto son:

• Medidas de la pérdida de confidencialidad, como el acceso a información restringida
  
  
• Pérdida de integridad, como cuando el atacante modifica los datos del sistema
  
  
• Impacto en la disponibilidad, referido a si un ataque reduce el rendimiento de un sistema o deniega el acceso al sistema a usuarios legítimos.

Las métricas de amenazas representan las características de vulnerabilidad que cambian con el tiempo. La madurez de la explotación es la métrica principal en esta categoría y mide la probabilidad de que se ataque una vulnerabilidad específica.

La disponibilidad de códigos de explotación, el estado de las técnicas de explotación y los casos reales de ataques determinan el valor métrico asignado a la métrica de madurez de explotación. Dichos valores incluyen:

• "Atacado" (lo que significa que se han informado ataques sobre esta vulnerabilidad)
  
  
• "Prueba de concepto" (que indica que los códigos de explotar están disponibles pero no ha habido ataques conocidos)
  
  
• "No informado" (que indica que no se conocen códigos de prueba de concepto de explotación ni intentos de explotar la vulnerabilidad)

Cuando no hay inteligencia de amenazas fiable para determinar la madurez de la explotación, se utiliza un valor predeterminado: "no definido".

El grupo de métricas ambientales representa las características de vulnerabilidad que son exclusivas del entorno de un usuario. Al igual que el grupo de métricas base, el grupo ambiental incluye confidencialidad, integridad y disponibilidad, y a cada métrica se le asigna un valor que refleja la importancia del activo vulnerable en la organización. Esto contrasta con el enfoque intrínseco de las métricas de Base.

Además, a través del grupo de métricas ambientales, los analistas pueden anular varias métricas base originales con métricas base modificadas si la situación en un entorno específico sugiere que se justifica un valor diferente.

Consideremos un escenario en el que la configuración por defecto de una aplicación requiere autenticación para el acceso, pero el entorno de origen de la aplicación no requiere autenticación para los administradores. En este caso, el valor base original para la vulnerabilidad "privilegios requeridos" de la aplicación es "alto", lo que significa que se requiere un alto nivel de privilegios para acceder a ella. Sin embargo, el valor modificado de "privilegios requeridos" sería "ninguno" porque los atacantes podrían teóricamente explotar la vulnerabilidad asumiendo funciones administrativas.

El grupo de métricas suplementarias proporciona información adicional sobre las características extrínsecas de las vulnerabilidades, centrándose en cuestiones que van más allá de la gravedad técnica. Algunos ejemplos de métricas suplementarias son:

• "Automatizable" (si un atacante puede automatizar los pasos del ataque para llegar a varios objetivos)
  
  
• "Seguridad" (la posibilidad de que un humano pueda resultar herido como resultado de la explotación de una vulnerabilidad)
  
  
• "Recuperación" (lo bien que se recupera un sistema después de un ataque)

Las versiones CVSS varían en las métricas que incluyen. Por ejemplo, el grupo de métricas suplementarias es una adición relativamente nueva al CVSS. Las versiones anteriores de CVSS (CVSS v1, CVSS v2, CVSS v3 y CVSS v3.1) no incluían este conjunto de métricas.

Sin embargo, las versiones anteriores de CVSS incluían otras métricas, como "confianza del informe" y "nivel de corrección", que pertenecían a un grupo de métricas denominado métricas temporales. La categoría de métricas de amenazas de CVSS v4.0 reemplazó al grupo de métricas temporales de versiones anteriores.

También se considera que CVSS v4.0 tiene más granularidad en sus métricas base, lo que permite una comprensión más completa de las vulnerabilidades.

Los diferentes tipos de puntuaciones CVSS reflejan los diferentes grupos de métricas considerados al evaluar una vulnerabilidad:

• CVSS-B se refiere a las puntuaciones base del CVSS
  
  
• CVSS-BE se refiere a las puntuaciones base y ambientales
  
  
• CVSS-BT se refiere a las puntuaciones base y de amenaza del CVSS.
  
  
• CVSS-BTE se refiere a las puntuaciones base, de amenaza y ambientales del CVSS⁷

Todas las puntuaciones van de 0 a 10, siendo 0 la puntuación de gravedad más baja y 10 la puntuación de gravedad más alta posible. Las métricas suplementarias no afectan a las puntuaciones CVSS pero podrían incluirse en las cadenas de vectores CVSS v4.0.

Diferentes entidades pueden priorizar diferentes grupos de métricas y puntuaciones. Por ejemplo, los proveedores de software suelen especificar las puntuaciones base de sus productos, mientras que las organizaciones de consumidores pueden confiar en las métricas de amenaza y ambientales para indicar el impacto potencial de una vulnerabilidad en sus entornos⁸.

Las cadenas de vectores CVSS son representaciones de texto legibles por máquina de un grupo de métricas CVSS para una vulnerabilidad. Las diferentes abreviaturas dentro de las cadenas de vectores corresponden a valores métricos específicos, lo que ayuda a contextualizar la puntuación CVSS de esa vulnerabilidad⁹.

Por ejemplo, una vulnerabilidad con un valor de "vector de ataque" de "L" (para "local") tendría "AV:L" en su cadena de vector. Si esa vulnerabilidad requiriera que un atacante tuviera un alto nivel de privilegios para explotarla con éxito, el valor de "privilegios requeridos" sería "H" (para "alto" y su cadena vectorial incluiría "PR:H".

En una cadena vectorial, cada valor está separado por una barra diagonal ("/") y debe enumerarse en un orden prescrito, según lo especificado por el marco CVSS. Los distintos valores de los grupos de métricas base, amenaza y ambientales pueden combinarse en 15 millones de cadenas de vectores distintas¹⁰.

CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de ciberseguridad que a menudo se descubren en aplicaciones de IA, incluido el envenenamiento de modelos, la denegación de servicio o la divulgación de información. Sin embargo, CVSS podría ser menos útil para las vulnerabilidades relacionadas con la IA que se relacionan principalmente con el sesgo, laética o las preocupaciones legales, según FIRST.org. Estas vulnerabilidades están relacionadas con la inferencia, la inversión de modelos y la inyección de instrucciones¹¹.

Mientras que CVSS es un marco para evaluar vulnerabilidades, CVE (abreviatura de Common Vulnerabilities and Exposures) es un glosario de vulnerabilidades de ciberseguridad divulgadas públicamente. A las vulnerabilidades incluidas en el programa CVE se les asignan identificadores únicos llamados ID de CVE. El programa es mantenido por la corporación sin fines de lucro MITRE y patrocinado por el Departamento de Seguridad Nacional de EE. UU.

La gravedad de las vulnerabilidades catalogadas por el programa CVE se puede evaluar utilizando el marco CVSS. Sin embargo, cuando se trata de vulnerabilidades publicadas por CVE, las organizaciones de CVE pueden optar por renunciar a hacer sus propios cálculos y, en su lugar, confiar en las puntuaciones CVSS proporcionadas por la National Vulnerability Database (NVD). NVD es un repositorio de estándares de datos de gestión de vulnerabilidades del Instituto Nacional de Estándares y Tecnología (NIST). NVD aloja una base de datos en línea de búsqueda de vulnerabilidades identificadas por CVE junto con información complementaria, incluidas puntuaciones base de CVSS y cadenas vectoriales.

Las organizaciones pueden utilizar calculadoras en línea para determinar varios tipos de puntuaciones CVSS, incluidas las puntuaciones CVSS basadas en versiones anteriores de CVSS. Las calculadoras CVSS están disponibles en el CVSS y NVD sitios web. La documentación de CVSS incluye una recomendación de que las organizaciones utilicen la automatización para buscar amenazas para informar la parte de la evaluación de métricas de amenazas y ambientales¹².

Las organizaciones también pueden beneficiarse de las herramientas y plataformas de gestión de vulnerabilidades que incorporan evaluaciones CVSS. Las principales soluciones de software de evaluación de vulnerabilidad hacen referencia a las puntuaciones de CVSS entre múltiples factores clave, incluidas las referencias de cumplimiento, las guías de seguridad de los proveedores y la investigación de sectores. Estas soluciones también pueden incluir características con IA, como la detección de datos en tiempo real, que pueden ayudar a mejorar la respuesta a incidentes y la gestión de la privacidad de una organización.