Actualmente, la gestión de TI debe identificar y evaluar vulnerabilidades a través de diversas plataformas hardware y software dispares. Se necesita priorizar estas vulnerabilidades y remediar aquellas poseedoras de un riesgo alto. Pero cuando son muchas a arreglar, cada una debe ser puntuada utilizando diversas escalas, ¿Cómo pueden los gerentes de TI convertir esta montaña de datos sobre vulnerabilidades en información factible de ser procesada? Common Vulnerability Scoring System (CVSS) o por su traducción al idioma español, Sistema Común para la Puntuación de Vulnerabilidades, es un marco de trabajo abierto para direccionar este tema. El cual ofrece los siguientes beneficios:

• Puntuaciones Estandarizadas sobre Vulnerabilidades: Cuando una organización normaliza las puntuaciones sobre vulnerabilidades a través de todas sus plataformas de software y hardware, puede aprovechar una sencilla política para la gestión de vulnerabilidades. Esta política puede ser similar a un acuerdo para el nivel de servicio (SLA) el cual indica cuan rápidamente una vulnerabilidad en particular debe ser validada y remediada.
• Marco de Trabajo Abierto: Los usuarios pueden ser confundidos cuando se le asigna a una vulnerabilidad una puntuación arbitraria. “¿Cuales propiedades le dieron esa puntuación?”. ¿Cómo difiere de la publicada el día de ayer?. Con CVSS, cualquiera puede ver las características individuales utilizadas para derivar una puntuación.
• Riesgos Priorizados: Cuando la puntuación ambiental es computada, la vulnerabilidad se convierte ahora en contextual. Esto es, la puntuación de la vulnerabilidad es ahora representativa sobre el riesgo actual para una organización. Los usuarios conocen cuan importante es una vulnerabilidad en relación a otra vulnerabilidades.

¿Qué es CVSS?

CVSS está compuesto de tres grupos de métricas; Base, Temporal y Ambiental, cada una consistente de un conjunto de métricas.

Estas métricas de grupos son descritas a continuación:

• Base: Representa las características intrínsecas y fundamentales de una vulnerabilidad constantes sobre el tiempo y ambientes de usuario.
• Temporal: Representa las características de una vulnerabilidad cambiante sobre el tiempo, pero no entre ambientes de usuario.
• Ambiental: Representa las características de una vulnerabilidad relevante y única a un entorno de usuario particular.

El propósito del grupo base de CVSS es definir y comunicar las características fundamentales de una vulnerabilidad. Este objetivo se enfoca en caracterizar las vulnerabilidades para proporcionar a los usuarios con una representación clara e intuitiva de una vulnerabilidad. Los usuarios pueden invocar los grupos temporal y ambiental para proporcionar información contextual el cual refleje más precisamente el riesgo para un ambiente único. Esto permite tomar decisiones más informadas cuando se intenta mitigar los riesgos de las vulnerabilidades.

¿Cómo funciona CVSS?

Cuando las métricas base tiene valores asignados, la ecuación base calcula una puntuación con un rango desde 0 a 10, y se crea un vector. El vector facilita la naturaleza “abierta” del marco de trabajo. Es una cadena de texto conteniendo los valores asignados para cada métrica, y es utilizada para comunicar exactamente como la puntuación para cada vulnerabilidad es derivada. Por lo tanto el vector siempre debe ser mostrado con la puntuación de la vulnerabilidad.

Si se desea, la puntuación base puede ser refinada asignando valores a las métricas temporales y ambientales. Esto es útil para proporcionar contexto adicional para una vulnerabilidad, con un reflejo más preciso del riesgo poseído por la vulnerabilidad en el ambiente del usuario. Sin embargo esto no es requerido. Dependiendo del propósito, la puntuación base y el vector pueden ser suficiente.

Si se necesita una puntuación temporal, la ecuación temporal podría combinar métricas temporales con una puntuación base para producir una puntuación temporal con un rango desde 0 hasta 10. De manera similar, si se necesita una puntuación ambiental, la ecuación ambiental podría combinar la métricas ambientales con la puntuación temporal para producir una puntuación ambiental con un rango desde 0 a 10.

¿Quienes realizan la puntuación?

Generalmente, las métricas base y temporal son especificadas por los analistas de los boletines sobre seguridad, proveedores de seguridad para un producto, o proveedores de un aplicación, debido a la tenencia de mejor información sobre las características de una vulnerabilidad. Las métricas ambientales, sin embargo, son especificadas por los usuarios debido a la mejor capacidad de evaluar el impacto potencial de una vulnerabilidad dentro de los propios ambientes.

¿Quién posee CVSS?

CVSS está bajo la custodia y cuidado del Forum of Incident Response and Security Teams (FIRST) o Foro de Equipos de Respuesta de Incidentes y Seguridad. Ninguna organización “posee” CVSS y la afiliación en FIRST no requiere utilizar o implementar CVSS. El único requerimiento para las organizaciones es publicar puntuaciones conforme a las directrices descritas y proporcionar la puntuación además del vector de puntuación, así otros pueden comprender como fue derivada la puntuación.

¿Quienes utilizan CVSS?

Diversas organizaciones están utilizando CVSS, y cada una de ellas encontrando valor de diferentes maneras. A continuación algunos ejemplos.

• Proveedores de Boletines sobre Vulnerabilidades: Organizaciones comerciales o sin fines de lucro están publicando puntuaciones base y temporal además de vectores en sus boletines libres sobre vulnerabilidades. Estos boletines ofrecen mucho más información, incluyendo la fecha de descubrimiento, sistemas afectados, y enlaces al proveedor para las recomendaciones de solución.
• Proveedores del Software de Aplicación. Los proveedores de software de aplicación están proporcionando puntuaciones base CVSS y vectores para sus clientes. Esto los ayudar a comunicar adecuadamente la severidad de las vulnerabilidades en sus productos y ayuda a sus clientes a gestionar efectivamente su riesgo de TI.
• Organizaciones de usuarios: Diversas organizaciones del sector privado están utilizando internamente CVSS para hacer decisiones informadas sobre gestión de vulnerabilidades. Ellos utilizan tecnologías de vigilancia y escaners para localizar primero vulnerabilidades en el host y aplicaciones. Combinan estos datos con puntuaciones CVSS base, temporal y ambiental para obtener información más contextual sobre el riesgo y remediar las vulnerabilidades poseedoras de un mayor riesgo para sus sistemas.
• Gestión y Escaneo de Vulnerabilidades: Las organizaciones gestionando vulnerabilidades escanean las redes por vulnerabilidades en TI. Ellas proporcionan puntuaciones CVSS base para cada vulnerabilidad sobre cada host. Las organizaciones de usuarios utilizan flujos de datos críticos para gestionar más efectivamente sus infraestructuras de TI reduciendo cortes y protegiéndolas contra amenazas de TI maliciosas o accidentales.
• Investigadores: Un marco de trabajo abierto como CVSS permite a los investigadores realizar análisis estadísticos sobre las vulnerabilidades y propiedades de la vulnerabilidad.

Definiciones rápidas.

• Vulnerabilidad: Una falla, error, debilidad, o exposición de una aplicación, sistema, dispositivo, o servicio el cual podría conducir a un fallo de confidencialidad, integridad, o disponibilidad.
• Amenaza: La probabilidad o frecuencia en la ocurrencia de un evento dañino.
• Riesgo: El impacto relativo que una vulnerabilidad explotada podría tener en el ambiente del usuario.

Fuentes:

http://www.first.org/cvss/
http://www.first.org/cvss/cvss-guide