Diferentes ambientes pueden tener una inmensa influencia sobre el riesgo poseído por una vulnerabilidad para una organización y las partes interesadas. El grupo de métricas ambientales de CVSS captura las características de una vulnerabilidad asociada con el ambiente TI del usuario. Ya que las métricas del ambiente son opcionales, cada una de ellas incluye un valor de métrica sin influencia sobre la puntuación. Este valor es utilizado cuando el usuario percibe la no aplicabilidad de una métrica particular y desea “saltarla”.

Potencial Daño Colateral (CDP)

Esta métrica mide el potencial de perdida de una vida o activo físico a través de daño o robo de propiedad o equipo. Esta métrica también mide la perdida económica de productividad o ingresos. Los valores posibles para esta métrica se listan a continuación. Naturalmente, mientras mayor sea el potencial daño, mayor será la puntuación de la vulnerabilidad.

Valor de la Métrica | Descripción

• Ningún (N) | No existe una potencial perdida de vida, activo físico productividad o ingreso.
• Bajo (L) | Un exploit satisfactorio de esta vulnerabilidad puede resultar en un leve daño físico o de la propiedad. O puede haber una leve perdida de ingresos o productividad en la organización.
• Bajo-Medio (LM) | Un exploit satisfactorio de esta vulnerabilidad puede resultar en un daño moderado físico o de la propiedad. O puede ser una perdida moderada de ingresos o productividad para la organización.
• Medio-Alto | Un exploit satisfactorio de esta vulnerabilidad puede resultar en un daño significativo físico o de la propiedad. O puede ser una perdida catastrófica de ingresos o productividad.
• Alto (H) | Un exploit satisfactorio de esta vulnerabilidad puede resultar en un daño catastrófico físico o de la propiedad. O puede ser una perdida catastrófica de ingresos o productividad.
• No Definida (ND) | Asignar este valor a la métrica no influenciará la puntuación. Es una señal para saltar esta métrica en la ecuación.

Claramente, cada organización debe determinar por si misma el significado preciso de “leve, moderado, significativo o catastrófico”.

Distribución Objetivo (TD)

Esta métrica mide la proporción de sistemas vulnerables. Se entiende como un indicador específico del ambiente para aproximar el porcentaje de sistemas afectados por la vulnerabilidad. Los valores posibles para esta métrica son listados a continuación. A mayor proporción de sistemas vulnerables, mayor la puntuación.

Valor de la Métrica | Descripción

• Ningún (N) | No existen sistemas objetivo, o los objetivos son tan especializados dada su existencia en un configuración de laboratorio. Efectivamente el 0% del ambiente esta en riesgo.
• Bajo (L) | Existen objetivos dentro del ambiente, pero a una pequeña escala. Entre el 1% y 25% del total del ambiente en riesgo.
• Medio (M) | Existen objetivos dentro del ambiente, pero a una escala media. Entre el 26% y 75% del total del ambiente en riesgo.
• Alto (H) | Existen objetivos dentro del ambiente a una escala considerable. Entre el 76% y 100% del total del ambiente se considera en riesgo.
• No Definida (ND) | Asignar este valor a la métrica no influenciará la puntuación. Es una señal para saltar esta métrica en la ecuación.

Requerimientos de Seguridad (CR, IR, AR)

Estas métricas permiten al analista personalizar la puntuación del CVSS dependiendo de la importancia del activo de TI afectado para los usuarios de la organización, medirlo en términos de confidencialidad, integridad, y disponibilidad. Esto es, si un activo de TI soporta una función del negocio para la cual la disponibilidad es lo más importante, el analista puede asignar un valor mayor a la disponibilidad, relativo a la confidencialidad e integridad. Cada requerimiento de seguridad tiene tres valores posibles: bajo, medio, o alto.

El efecto completo sobre la puntuación del entorno es determinado por las correspondientes métricas base de impacto (favor anotar el no cambio por si mismas de las métricas base de impacto a la confidencialidad, integridad y disponibilidad). Esto es, estas métricas de modifican la puntuación del entorno mediante la reponderación de las métricas de impacto base de confidencialidad, integridad y disponibilidad. Por ejemplo, la métrica de impacto a la confidencialidad (C) incrementa su peso si el requerimiento de la confidencialidad (CR) es alto. Así mismo, la métrica de impacto a la confidencialidad disminuye su peso si el requerimiento de confidencialidad es bajo. La ponderación de la métrica de impacto a la confidencialidad es neutral si el requerimiento de confidencialidad es medio. La misma lógica se aplica a los requerimientos de integridad y disponibilidad.

Anotar la no afectación a la puntuación ambiental por parte del requerimiento de confidencialidad si el impacto a la confidencialidad (base) se define a ningún. También, incrementar el requerimiento de confidencialidad desde medio hacia alto no cambiará la puntuación ambiental cuando las métricas de impacto (base) se definen a completo. Esto es debido a la sub puntuación del impacto (parte de la puntuación base para calcular el impacto) ya está en el máximo valor de 10.

Los posibles valores para los requerimientos de seguridad se listan a continuación. Por brevedad, la misma tabla se utiliza para los tres métricas. A mayor requerimiento de seguridad, mayor puntuación (Medio se considera por defecto). Estas métricas modificarán la puntuación tanto como mas o menos 2.5.

Valor de la Métrica | Descripción

• Bajo (L) | La perdida de [confidencialidad | integridad | disponibilidad] es probable tenga solo un limitado efecto adverso sobre la organización o individuos asociados con la organización (ejemplo, empleados, clientes).
• Medio (M) | La perdida de [confidencialidad | integridad | disponibilidad] es probable tenga un serio impacto adverso sobre la organización o individuos asociados con la organización (ejemplo, empleados, clientes).
• Alto (H) | La perdida de [confidencialidad | integridad | disponibilidad] es probable tenga un catastrófico efecto adverso sobre la organización o individuos asociados con la organización (ejemplo, empleados, clientes).
• No Definida (ND) | Asignar este valor a la métrica no influenciará la puntuación. Es una señal para saltar esta métrica en la ecuación.

En muchas organizaciones, los recursos de TI son etiquetados con clasificaciones críticamente basadas sobre ubicaciones de red, función del negocio, o potencial perdida de ingresos o vida. Por ejemplo, el gobierno de los Estados Unidos asigna activos de TI no clasificados a un grupo de activos denominados Sistema. Cada Sistema tiene asignado tres clasificaciones de “impacto potencial” para mostrar el impacto potencial sobre la organización si el Sistema es comprometido de acuerdo a los tres objetivos de seguridad: confidencialidad, integridad, y disponibilidad. Por lo tanto, cada activo de TI sin clasificar en el gobierno de los Estados Unidos tiene una clasificación de impacto potencial de bajo, moderado, o alto con respecto a los objetivos de seguridad de confidencialidad, integridad, y disponibilidad. Esta sistema de clasificación se describe dentro del FIPS (Federal Information Processing Standards) 199. CVSS sigue el modelo general de FIPS 199, pero no requiere a las organizaciones el utilizar ningún sistema particular para asignar la clasificación de impacto baja, media, alta.

Vectores Base, Temporal, Ambiental

Cada métrica en el vector consiste de un nombre de métrica abreviada, seguida por un “:” (dos puntos), luego el valor de la métrica abreviada. La lista de vectores de estas métricas en un orden predeterminado, utilizando el “/” (slash) para separar las métricas. Si una métrica temporal o ambiental no es utilizada, se le da un valor de “ND” (No definida). Los vectores Base, temporal, y ambiental se muestran a continuación:

Valor de la Métrica | Descripción

• Base | AV:[L,A,N]/AC:[H,M,L]/Au:[M,S,N]/C:[N,P,C]/I:[N,P,C]/A:[N,P,C]
• Temporal | E:[U,POC,F,H,ND]/RL:[OF,TF,W,U,ND]/RC:[UC,UR,C,ND]
• Ambiental | CDP:[N,L,LM,MH,H,ND]/TD:[N,L,M,H,ND]/CR:[L,M,H,ND]/ IR:[L,M,H,ND]/AR:[L,M,H,ND]

Por ejemplo, una vulnerabilidad con valores de métrica base de “Vector de Acceso: Bajo, Complejidad de Acceso: Medio, Autenticación: Ninguno, Impacto Confidencialidad: Ninguno, Impacto Integridad: Parcial, Impacto Disponibilidad: Completo” podría tener el siguiente vector base: "AV:L/AC:M/Au:N/C:N/I:P/A:C."

Fuentes:

http://www.first.org/cvss/cvss-guide
http://www.reydes.com/d/?q=Introduccion_a_CVSS_Common_Vulnerability_Scor...
http://www.reydes.com/d/?q=Metrica_Base_de_CVSS_Common_Vulnerability_Sco...
http://www.reydes.com/d/?q=Metricas_Temporales_de_CVSS_Common_Vulnerabil...