El Sistema Común de Puntuación de Vulnerabilidades (CVSS) es el estándar más usado para medir y categorizar la gravedad de vulnerabilidades en sistemas y aplicaciones. Muchas herramientas de seguridad asignan automáticamente una puntuación CVSS a cada vulnerabilidad detectada, pero es crucial entender cómo se calcula para justificar y priorizar mejor las respuestas.
CVSS y Microsoft DREAD: dos aliados en la seguridad 🛡️
DREAD, desarrollado por Microsoft, es un sistema de evaluación de riesgos que utiliza una escala de 0 a 10 para medir el nivel de amenaza basado en cinco factores:
Daño potencial
Reproducibilidad
Explotabilidad
Usuarios afectados
Descubrimiento
Ambos modelos ayudan a evaluar y priorizar riesgos, y son esenciales para la estrategia de seguridad en productos y entornos corporativos.
¿Cómo funciona CVSS? 🎯
CVSS se compone de tres grupos principales de métricas que permiten calcular una puntuación que refleja la gravedad de la vulnerabilidad:
1. Métricas Base
Describen las características intrínsecas de la vulnerabilidad, divididas en:
Métricas de explotabilidad:
Vector de ataque: ¿Desde dónde se puede explotar? (por ejemplo, remoto, local, físico)
Complejidad del ataque: ¿Qué tan difícil es explotarlo?
Privilegios requeridos: ¿Qué permisos necesita el atacante?
Interacción del usuario: ¿Se requiere que el usuario realice alguna acción para que el ataque funcione?
Métricas de impacto: Basadas en la tríada CIA (Confidencialidad, Integridad, Disponibilidad) que mide el daño causado:
Confidencialidad: Protección de datos, evitando accesos no autorizados.
Integridad: Garantizar que los datos no se modifiquen sin autorización.
Disponibilidad: Asegurar que los recursos estén accesibles cuando se necesiten.
2. Métricas Temporales
Evalúan factores cambiantes en el tiempo, como:
Madurez del código de explotación: ¿Existen exploits públicos y funcionales?
Nivel de remediación: Disponibilidad de parches o soluciones temporales.
Informe de confianza: Qué tan confiable y confirmada está la información sobre la vulnerabilidad.
3. Métricas Ambientales
Permiten ajustar la puntuación base según la importancia y contexto de la organización afectada, considerando el impacto en la confidencialidad, integridad y disponibilidad en su entorno específico.
Ejemplo de impacto en la tríada CIA 🔥
Confidencialidad: Un valor alto indica que un atacante puede robar contraseñas o claves.
Integridad: Un valor alto indica que un atacante puede modificar archivos críticos.
Disponibilidad: Un valor alto significa que el atacante puede dejar inaccesibles recursos vitales.
Cálculo y uso de la puntuación CVSS
El resultado final es una puntuación de 0 a 10 que indica el nivel de gravedad:
0-3.9: Bajo
4.0-6.9: Medio
7.0-8.9: Alto
9.0-10: Crítico
Esta puntuación ayuda a priorizar las vulnerabilidades para decidir cuáles deben ser abordadas primero.
Ejemplo real 📌
Para una vulnerabilidad de ejecución remota de código en el administrador de trabajos de impresión de Windows, la puntuación base CVSS es 8.8, indicando un riesgo alto que requiere atención inmediata.
