¿Qué es el Common Vulnerability Scoring System (CVSS)?

El sistema de puntuación de vulnerabilidades comunes (CVSS) es un marco muy utilizado para clasificar y calificar las vulnerabilidades de software.
 

A través de este marco abierto, las organizaciones pueden calcular una puntuación CVSS, que es una puntuación numérica que representa la gravedad de una vulnerabilidad. Las características de una vulnerabilidad que han contribuido a la puntuación CVSS se representan en una cadena de texto conocida como cadena de vectores CVSS.

Ha habido varias versiones de CVSS desde 2005. La versión más reciente, CVSS v4.0, se lanzó en 2022. El grupo sin fines de lucro FIRST.org, Inc., también conocido como Forum of Incident Response and Security Teams, gestiona este marco.

CVSS es una herramienta importante para la gestión de vulnerabilidades , que es el descubrimiento, priorización y resolución continuos de vulnerabilidades de seguridad en la infraestructura de TI y el software de una organización. Identificar y resolver errores y debilidades de ciberseguridad, como configuraciones erróneas de cortafuegos y errores sin parches, es crítico para garantizar la funcionalidad completa de la infraestructura y el software de TI.

Las medidas de resolución pueden incluir:

• Corrección: garantizar que una vulnerabilidad ya no pueda ser explotada.
  
  
• Mitigación: hacer que una vulnerabilidad sea más difícil de explotar y, al mismo tiempo, reducir el impacto potencial de su explotación.
  
  
• Aceptación: dejar una vulnerabilidad en su lugar si es poco probable que se explote o cause poco daño.

Dada la complejidad de los sistemas de TI actuales y su gran volumen de vulnerabilidades y amenazas cibernéticas, determinar qué problemas de dirección resolver primero puede ser un desafío para los administradores de TI.

Ahí es donde CVSS resulta valioso: proporciona a los administradores de TI un enfoque sistemático para evaluar la gravedad de una vulnerabilidad, lo que ayuda a informar sus decisiones sobre la priorización y planeación de resoluciones de vulnerabilidades para los sistemas afectados.¹

Las puntuaciones CVSS se pueden incorporar a las evaluaciones de riesgos, pero una evaluación CVSS por sí sola no debe utilizarse en lugar de una evaluación de riesgos integral, según FIRST.org. Las guías de usuario de CVSS aconsejan que las evaluaciones integrales deben incluir factores fuera del alcance de CVSS.²

CVSS comenzó como un proyecto de investigación encargado por el National Infrastructure Advisory Council (NIAC) en 2003. En aquella época, el panorama de las evaluaciones de vulnerabilidad del software estaba muy desarticulado: Los proveedores de seguridad informática y los grupos sin ánimo de lucro utilizaban procedimientos y métricas diferentes, lo que daba lugar a una serie de sistemas de puntuación únicos, a menudo patentados, incompatibles entre sí.³ Esta incongruencia dificultaba la colaboración entre los equipos de seguridad de distintas organizaciones.⁴

Los investigadores del NIAC crearon CVSS para estandarizar las evaluaciones de vulnerabilidad. Lo diseñaron para que fuera un sistema abierto que pudiera personalizar y adoptar por diferentes sistemas y entornos de TI.⁵

CVSS v4.0 consta de 4 grupos de métricas.⁶

• Base
• Amenaza
• Ambiental
• Suplementario

Estos grupos de métricas representan diferentes características y cualidades de las vulnerabilidades del software. Bajo el marco CVSS v4.0, los grupos se pueden describir de la siguiente manera:

Las métricas base representan las cualidades intrínsecas de las vulnerabilidades que son constantes en todos los entornos de usuario y a lo largo del tiempo. Las métricas básicas constan de 2 conjuntos, métricas de explotabilidad e impacto.

Las métricas de explotabilidad indican la facilidad con la que se puede explotar con éxito una vulnerabilidad. Estos son algunos ejemplos de métricas de explotabilidad:

• Medidas de cuánta interacción del usuario necesita un atacante para explotar una vulnerabilidad
  
  
• Si un atacante puede acceder a un sistema de forma local o remota ("vector de ataque")
  
  
• Qué nivel de privilegios necesita un atacante para tener éxito ("privilegios requeridos")
  
  
• Si se necesitan condiciones específicas o conocimientos avanzados para llevar a cabo un ataque (“complejidad del ataque”)

Las métricas de impacto representan los Resultados de una explotar exitosa, el impacto en un sistema vulnerable (como una aplicación de software o un sistema operativo) y los impactos posteriores en otros sistemas. Algunos ejemplos de métricas de impacto son:

• Medidas de pérdida de confidencialidad, como el acceso a información restringida
  
  
• Pérdida de integridad, como cuando el atacante modifica los datos del sistema
  
  
• Impacto en la disponibilidad, que se refiere a si un ataque reduce el rendimiento de un sistema o niega el acceso al sistema a usuarios legítimos

Las métricas de amenazas representan las características de vulnerabilidad que cambian con el tiempo. La madurez de explotar es la métrica principal en esta categoría, ya que mide la probabilidad de que se ataque una vulnerabilidad específica.

La disponibilidad de códigos de explotar, el estado de las técnicas de explotar y los casos reales de ataques determinan el valor métrico asignado a la métrica de madurez de explotar. Dichos valores incluyen:

• "Atacado" (lo que significa que se han informado ataques sobre esta vulnerabilidad)
  
  
• “Prueba de concepto” (que indica que los códigos para explotar están disponibles, pero no ha habido ataques conocidos)
  
  
• “No informado” (que indica que no se conocen códigos de explotación de prueba de concepto ni intentos de explotar la vulnerabilidad)

Cuando no hay inteligencia de amenazas confiable para determinar la madurez de explotar, se utiliza un valor predeterminado, "no definido".

El grupo de métricas ambientales representa características de vulnerabilidad que son exclusivas del entorno de un usuario. Al igual que el grupo de métricas base, el grupo ambiental incluye confidencialidad, integridad y disponibilidad, y a cada métrica se le asigna un valor que refleja la importancia del activo vulnerable en la organización. Esto contrasta con el enfoque intrínseco de las métricas base.

Además, a través del grupo de métricas medioambientales, los analistas pueden sustituir varias métricas básicas originales por métricas básicas modificadas si la situación en un entorno específico sugiere que se justifica un valor diferente.

Considere un escenario en el que la configuración predeterminada de una aplicación requiere autenticación para el acceso, pero el entorno que alberga la aplicación no requiere autenticación para los administradores. En este caso, el valor base original para la vulnerabilidad de "privilegios requeridos" de la aplicación es "alto", lo que significa que se requiere un alto nivel de privilegio para acceder a ella. Sin embargo, el valor modificado de "privilegios requeridos" sería "ninguno" porque, en teoría, los atacantes podrían explotar la vulnerabilidad asumiendo funciones administrativas.

El grupo de métricas complementarias proporciona información adicional sobre las características extrínsecas de las vulnerabilidades, centrar en cuestiones que van más allá de la gravedad técnica. Estos son algunos ejemplos de métricas complementarias:

• “Automatizable” (si un atacante puede automatizar los pasos del ataque para alcanzar múltiples objetivos)
  
  
• “Seguridad” (la posibilidad de que un humano pueda resultar lesionado como resultado de la explotación de una vulnerabilidad)
  
  
• “Recuperación” (qué tan bien se recupera un sistema luego de un ataque)

Las versiones de CVSS varían en las métricas que incluyen. Por ejemplo, el grupo de métricas suplementarias es una incorporación relativamente nueva a CVSS. Las versiones anteriores de CVSS (CVSS v1, CVSS v2, CVSS v3 y CVSS v3.1) no incluían este conjunto de métricas.

Sin embargo, las versiones anteriores de CVSS incluían otras métricas, como "confianza del informe" y "nivel de corrección", que pertenecían a un grupo de métricas llamado métricas temporales. La categoría de métricas de amenazas de CVSS v4.0 reemplazó al grupo de métricas temporales de versiones anteriores.

También se considera que CVSS v4.0 tiene más granularidad en sus métricas base, lo que permite una comprensión más completa de las vulnerabilidades.

Los distintos tipos de puntajes CVSS reflejan los diferentes grupos de métricas que se tienen en cuenta al evaluar una vulnerabilidad:

• CVSS-B se refiere a puntuaciones CVSS Base
  
  
• CVSS-BE se refiere a puntuaciones base y ambientales
  
  
• CVSS-BT se refiere a puntuaciones CVSS Base y de amenazas
  
  
• CVSS-BTE se refiere a las puntuaciones CVSS Base, Threat y Environmental⁷

Todas las puntuaciones oscilan entre 0 y 10, siendo 0 la calificación de gravedad más baja y 10 la puntuación de gravedad más alta posible. Las métricas suplementarias no afectan las puntuaciones CVSS, pero podrían incluirse en las cadenas vectoriales CVSS v4.0.

Diferentes entidades pueden priorizar diferentes grupos de métricas y puntajes. Por ejemplo, los proveedores de software suelen especificar las puntuaciones base de sus productos, mientras que las organizaciones de consumidores pueden confiar en las métricas de amenazas y ambientales para indicar el impacto potencial de una vulnerabilidad en sus entornos.⁸

Las cadenas vectoriales CVSS son representaciones de texto legibles por máquina de un grupo de métricas CVSS para una vulnerabilidad. Las diferentes abreviaturas dentro de cadenas vectoriales corresponden a valores métricos específicos, lo que ayuda a contextualizar la puntuación CVSS de esa vulnerabilidad.⁹

Por ejemplo, una vulnerabilidad con un valor de "vector de ataque" de "L" (para "local") tendría "AV:L" en su cadena de vector. Si esa vulnerabilidad requiriera que un atacante tuviera un alto nivel de privilegios para explotarla con éxito, el valor de "privilegios requeridos" sería "H" (para "alto" y su cadena vectorial incluiría "PR:H".

En una cadena vectorial, cada valor está separado por una barra inclinada ("/") y debe enumerarse en un orden prescrito, según lo especificado por la infraestructura CVSS. Los diferentes valores de los grupos de métricas Base, Amenaza y Entorno se pueden combinar en 15 millones de cadenas de vectores distintas.¹⁰

CVSS puede ser útil para evaluar tipos específicos de vulnerabilidades de ciberseguridad que a menudo se descubren en aplicaciones de IA, incluido el envenenamiento de modelos , la denegación del servicio o la divulgación de información. Sin embargo, CVSS podría ser menos útil para las vulnerabilidades relacionadas con la IA que se relacionan principalmente con el sesgo, la ética o las preocupaciones legales, según FIRST.org. Estas vulnerabilidades se relacionan con la inferencia, la inversión de modelos y la inyección de instrucciones.¹¹

Mientras que CVSS es un marco para evaluar vulnerabilidades, CVE (abreviatura de Common Vulnerabilities and Exposures) es un glosario de vulnerabilidades de ciberseguridad divulgadas públicamente. A las vulnerabilidades incluidas en el programa CVE se les asignan identificadores únicos llamados ID de CVE. El programa es mantenido por la corporación sin fines de lucro MITRE y patrocinado por el Departamento de Seguridad Nacional de EE. UU.

La gravedad de las vulnerabilidades catalogadas por el programa CVE se puede evaluar mediante la infraestructura CVSS. Sin embargo, cuando se trata de vulnerabilidades publicadas por CVE, las organizaciones de CVE pueden optar por renunciar a hacer sus propios cálculos y, en su lugar, confiar en las puntuaciones CVSS proporcionadas por la National Vulnerability Database (NVD). NVD es un repositorio de estándares de datos de gestión de vulnerabilidades del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. NVD aloja una base de datos en línea en la que se pueden realizar búsquedas de vulnerabilidades identificadas por CVE junto con información complementaria, incluidas puntuaciones base de CVSS y cadenas de vectores.

Las organizaciones pueden usar calculadoras en línea para determinar varios tipos de puntajes de CVSS, incluidos los puntajes de CVSS basados en versiones anteriores de CVSS. Las calculadoras CVSS están disponibles en los sitios web de CVSS y NVD. La documentación del CVSS incluye una recomendación de que las organizaciones utilicen la automatización para buscar amenazas y así informar la parte de métricas de amenazas y medio ambiente de la evaluación.¹²

Las organizaciones también pueden usar las herramientas y plataformas de gestión de vulnerabilidades que incorporan evaluaciones CVSS. Las principales soluciones de software de evaluación de vulnerabilidades hacen referencia a las puntuaciones CVSS entre múltiples factores clave, incluidos los puntos de referencia de cumplimiento, las guías de seguridad de los proveedores y la investigación de la industria. Estas soluciones también pueden incluir funciones impulsadas por IA, como el descubrimiento de datos automatizado y en tiempo real, que pueden ayudar a mejorar la respuesta a incidentes y la gestión de la privacidad de una organización.