La transición a CVSS v4.0: lo que necesita saber
El Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST) ha lanzado oficialmente la versión 4.0 del Sistema Común de Puntuación de Vulnerabilidades (CVSS). Esta nueva versión llega cuatro años después del lanzamiento de CVSS v3.1. Marca una evolución significativa en el estándar para evaluar la gravedad de las vulnerabilidades de ciberseguridad. En esta entrada del blog, exploraremos las principales diferencias entre CVSS v4.0 y su predecesora, destacando cómo estos cambios afectan a la evaluación y gestión de la vulnerabilidad.
Entendiendo CVSS
El Sistema Común de Puntuación de Vulnerabilidades es un marco esencial que proporciona una forma estandarizada de calificar la gravedad de las vulnerabilidades de seguridad en el software. Su función principal es establecer un método coherente y objetivo para evaluar el impacto de la vulnerabilidad. CVSS hace esto evaluando los principales atributos de una vulnerabilidad, incluida su explotabilidad, los efectos en la integridad, disponibilidad y confidencialidad del sistema, y el nivel de privilegios necesarios para la explotación. Estos factores se combinan para generar una puntuación numérica que refleja la gravedad de la vulnerabilidad. Esta puntuación se puede utilizar para guiar y priorizar los esfuerzos de respuesta y mitigación.
Limitaciones de CVSS v3.1
CVSS v3.1 se lanzó en junio de 2019 y se centró en aclarar y refinar la guía de la versión 3.0 en lugar de introducir cambios sustanciales en el sistema de puntuación en sí. Uno de sus principales desafíos fue la complejidad del sistema de puntuación, que a menudo conduce a interpretaciones erróneas por parte de los profesionales de la ciberseguridad. Esta complejidad dio lugar a que diferentes personas u organizaciones otorgaran calificaciones incoherentes a los mismos problemas de seguridad.
Otro problema importante era la incapacidad del sistema para tener plenamente en cuenta el contexto específico de una organización. Factores como el entorno único, la infraestructura o los impactos específicos de una vulnerabilidad no siempre se consideraron adecuadamente en la puntuación, lo que llevó a puntuaciones que no siempre se alinearon con los riesgos reales en ciertos escenarios. CVSS v3.1 también tuvo dificultades para calificar de manera efectiva ciertos tipos de vulnerabilidades, en particular las relacionadas con los dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT ).
Estos desafíos pusieron de relieve la necesidad de un sistema de puntuación más adaptable y sensible al contexto. Esto llevó al desarrollo de CVSS v4.0, cuyo objetivo era superar estas deficiencias y proporcionar una evaluación más completa y relevante de las vulnerabilidades.
Figura 1 CVSS v3.1 frente a CVSS v4.0. Crédito a Patrick Garrity
Novedades de CVSS v4.0
CVSS v4.0 no es solo una actualización incremental. Es una revisión integral diseñada para abordar los desafíos y limitaciones de CVSS v3.1. Estas son las actualizaciones clave:
- CVSS v4.0 busca reducir las inconsistencias en las evaluaciones de vulnerabilidad, que eran comunes en versiones anteriores en las que diferentes evaluadores podían interpretar el impacto de una vulnerabilidad de manera diferente, lo que generaba puntajes variados. Al proporcionar directrices más claras, la nueva versión tiene como objetivo eliminar estas ambigüedades, garantizando un enfoque más uniforme y coherente de la puntuación entre los distintos evaluadores.
- CVSS v4.0 mejora el detalle en sus métricas base, lo que permite una evaluación más precisa de las vulnerabilidades. A diferencia de CVSS v3.1, por ejemplo, donde una vulnerabilidad podría clasificarse simplemente como "baja" en explotabilidad, CVSS v4.0 ofrece un análisis más profundo. Desglosa las vulnerabilidades en subcategorías más específicas, como la complejidad del exploit y el nivel de interacción del usuario necesario. Este enfoque da como resultado una evaluación más matizada y precisa de cada vulnerabilidad.
- En la versión anterior de CVSS, las métricas temporales eran complejas y, a menudo, requerían juicios subjetivos con respecto a la confiabilidad del código de explotación y la confianza en los informes de vulnerabilidad. En CVSS v4.0, estas métricas, que reflejan los aspectos de una vulnerabilidad que evolucionan con el tiempo, se han simplificado. Ahora se agrupan en la categoría Amenaza, con un enfoque principal en la métrica de madurez de exploits. Esta reestructuración simplifica el proceso de evaluación de la vulnerabilidad y reduce la dependencia de las evaluaciones subjetivas.
- CVSS v4.0 adopta una nomenclatura de puntuación clara y explícita que incluye combinaciones de Puntuación Base (CVSS-B), Puntuación Base + Amenaza (CVSS-BT), Puntuación Base + Ambiental (CVSS-BE) y Puntuación Base + Amenaza + Ambiental (CVSS-BTE). Este nuevo sistema aborda el problema de basarse únicamente en la puntuación base CVSS para las evaluaciones de riesgos. Ayuda a mejorar la eficacia de las evaluaciones de riesgos al tener en cuenta los requisitos de seguridad específicos de los diferentes entornos y la presencia de controles compensatorios.
- En la nueva versión, CVSS amplía su alcance para cubrir entornos de tecnología operativa (OT), sistemas de control industrial y dispositivos de Internet de las cosas (IoT) de manera más efectiva. Esta expansión en la aplicabilidad se debe en gran medida a la introducción de una nueva métrica de seguridad. Esta métrica evalúa específicamente el impacto potencial en la seguridad física humana si se explota una vulnerabilidad, destacando las consecuencias en el mundo real de las brechas de seguridad en estos entornos.
- CVSS v4.0 presenta el nuevo grupo de métricas suplementarias, que ofrece una visión más profunda de varias características adicionales de una vulnerabilidad. Estas características no alteran la puntuación final del CVSS-BTE, pero siguen siendo vitales para una evaluación completa. Las métricas complementarias incluidas son:
- Seguridad: Esta métrica evalúa el riesgo potencial para la seguridad física humana si se explota la vulnerabilidad.
- Automatizable: Evalúa la viabilidad de automatizar el proceso de explotación de la vulnerabilidad a través de múltiples objetivos.
- Recuperación: Esta métrica se centra en evaluar la resiliencia de un sistema y su capacidad para recuperarse después de la explotación.
- Densidad de Valor: Mide la importancia o valor del recurso afectado por la vulnerabilidad.
- Esfuerzo de respuesta a la vulnerabilidad: esta métrica estima la cantidad de recursos y esfuerzo necesarios para abordar y remediar la vulnerabilidad.
- Urgencia del proveedor: Esto incluye una evaluación adicional proporcionada por el proveedor, centrada en la urgencia de abordar la vulnerabilidad.
La última versión del marco CVSS destaca la importancia de una evaluación integral que se extienda más allá de los indicadores básicos. Hace hincapié en la necesidad de integrar tanto las métricas de amenazas como las contextuales, que son vitales para evaluar con precisión la probabilidad de que se explote una vulnerabilidad y comprender el alcance de su impacto potencial en un entorno determinado. Para determinar con precisión la gravedad de una vulnerabilidad en cada escenario único, se recomienda tener en cuenta todas las métricas relevantes.
Implicaciones para la industria
Se prevé que CVSS v.4.0 influya significativamente en los profesionales de la ciberseguridad al abordar los problemas y limitaciones clave que se encuentran en la versión actual 3.1. Con su mayor claridad, flexibilidad y representación más precisa de los riesgos del mundo real, CVSS v.4.0 está diseñado para ayudar a las organizaciones a priorizar las vulnerabilidades de manera más efectiva y asignar recursos de mitigación. Sin embargo, es importante tener en cuenta que la adaptación a este nuevo estándar puede requerir tiempo y recursos para ajustar los sistemas y capacitar al personal.
Más información sobre el sistema de puntuación de vulnerabilidades comunes (CVSS) en el EP3 de LinuxTalk with TuxCare Youtube Serie