Muchas empresas confían en el Sistema de puntuación de vulnerabilidad común (CVSS) para evaluar la gravedad de las vulnerabilidades a la hora de priorizarlas. Si bien estos puntajes brindan una idea del impacto potencial de una vulnerabilidad, no tienen en cuenta los datos de amenazas del mundo real, como la probabilidad de explotación. Con nuevas vulnerabilidades descubiertas diariamente, los equipos no tienen el tiempo (ni el presupuesto) que perder en corregir vulnerabilidades que en realidad no reducen el riesgo. Continúe leyendo para obtener más información sobre cómo se comparan CVSS y EPSS y por qué el uso de EPSS cambia las reglas del juego para su proceso de priorización de vulnerabilidades. ¿Qué es la priorización de vulnerabilidades? La priorización de vulnerabilidades es el proceso de evaluar y clasificar las vulnerabilidades en función del impacto potencial que podrían tener en una organización. El objetivo es ayudar a los equipos de seguridad a determinar qué vulnerabilidades deben abordarse, en qué plazo o si es necesario solucionarlas. Este proceso garantiza que los riesgos más críticos se mitiguen antes de que puedan explotarse y es una parte esencial de la gestión de la superficie de ataque. En un mundo ideal, los equipos de seguridad podrían remediar cada vulnerabilidad tan pronto como se descubra, pero eso no es posible ni eficiente. Las investigaciones han demostrado que la mayoría de los equipos solo pueden remediar entre el 10% y el 15% de sus vulnerabilidades abiertas por mes, razón por la cual priorizar de manera efectiva es tan importante. En última instancia, lograr una correcta priorización de las vulnerabilidades garantiza que las organizaciones puedan hacer el mejor uso de sus recursos. ¿Por qué esto importa? Porque las empresas no pueden darse el lujo de gastar dinero en cosas a menos que esto marque la diferencia, y la gestión de riesgos consiste en asegurarse de que el dinero se gaste en reducir genuinamente el riesgo. Las limitaciones de CVSS para la priorización de vulnerabilidades Históricamente, una de las formas más comunes en que las organizaciones priorizan las vulnerabilidades es mediante el uso de puntuaciones base CVSS. Las puntuaciones base de CVSS están determinadas por factores que son constantes en el tiempo y en los entornos de usuario, como la facilidad y los medios técnicos mediante los cuales se puede explotar una vulnerabilidad y las consecuencias de una explotación exitosa. Estos factores se cuantifican y combinan para generar una puntuación final entre 0 y 10: cuanto mayor sea la puntuación, mayor será la gravedad. Las puntuaciones CVSS ofrecen una línea de base y una forma estandarizada de evaluar la gravedad y, en ocasiones, son necesarias para el cumplimiento. Sin embargo, tienen limitaciones que hacen que confiar en ellos sea menos eficiente que considerarlos junto con fuentes de datos en tiempo real. Una de las principales limitaciones de las puntuaciones CVSS es que no consideran el panorama de amenazas actual, como por ejemplo si una vulnerabilidad se está explotando activamente en la naturaleza. Esto significa que una vulnerabilidad con una puntuación CVSS alta puede no ser necesariamente el problema más crítico al que se enfrenta una organización. Tomemos como ejemplo CVE-2023-48795. Su puntuación CVSS actual es 5,9, que es «media». Pero si considera otras fuentes de inteligencia sobre amenazas, como EPSS, verá que existe una alta probabilidad de que sea explotada en los próximos 30 días (al momento de escribir este artículo). Esto muestra la importancia de adoptar un enfoque más holístico para la priorización de vulnerabilidades que considere no solo las puntuaciones CVSS sino también la inteligencia sobre amenazas en tiempo real. Mejorar la priorización con datos de explotación Para mejorar la priorización de vulnerabilidades, las organizaciones deben ir más allá de las puntuaciones CVSS y considerar otros factores, como la actividad de explotación identificada en la naturaleza. Una fuente valiosa para esto es EPSS, un modelo desarrollado por FIRST. ¿Qué es la EPSS? EPSS es un modelo que proporciona una estimación diaria de la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días. El modelo produce una puntuación entre 0 y 1 (0 y 100%), donde puntuaciones más altas indican una mayor probabilidad de explotación. El modelo funciona recopilando una amplia gama de información sobre vulnerabilidades de diversas fuentes, como la Base de datos nacional de vulnerabilidad (NVD), CISA KEV y Exploit-DB, junto con evidencia de actividad de explotación. Utilizando el aprendizaje automático, entrena su modelo para identificar patrones sutiles entre estos puntos de datos, lo que le permite predecir la probabilidad de una explotación futura. CVSS vs EPSS Entonces, ¿cómo ayudan exactamente las puntuaciones de EPSS a mejorar la priorización de vulnerabilidades? El siguiente diagrama ilustra un escenario en el que las vulnerabilidades con una puntuación CVSS de 7 o superior tienen prioridad para su corrección. El círculo azul representa todos estos CVE registrados el 1 de octubre de 2023. En rojo, puede ver todos los CVE con puntuaciones CVSS que fueron explotados en los siguientes 30 días. Como puede ver, la cantidad de vulnerabilidades que fueron explotadas en la naturaleza representa una pequeña cantidad de vulnerabilidades con una puntuación CVSS de 7 o superior. Fuente original: FIRST.org Comparemos esto con un escenario en el que las vulnerabilidades se priorizan en función de un umbral de EPSS establecido en el 10 %. Una diferencia notable entre los dos diagramas siguientes es el tamaño de los círculos azules, que indican la cantidad de vulnerabilidades que deben priorizarse. Esto da una idea de la cantidad de esfuerzo requerido para cada estrategia de priorización. Con un umbral de EPSS del 10 %, el esfuerzo es significativamente menor, ya que hay muchas menos vulnerabilidades que priorizar, lo que reduce el tiempo y los recursos necesarios. La eficiencia también es significativamente mayor, ya que las organizaciones pueden centrarse en las vulnerabilidades que tendrían el mayor impacto si no se abordan primero. Fuente original: FIRST.org Al considerar EPSS al priorizar las vulnerabilidades, las organizaciones pueden alinear mejor sus esfuerzos de remediación con el panorama de amenazas real. Por ejemplo, si EPSS indica una alta probabilidad de explotación de una vulnerabilidad con una puntuación CVSS relativamente baja, los equipos de seguridad podrían considerar priorizar esa vulnerabilidad sobre otras que pueden tener puntuaciones CVSS más altas pero una menor probabilidad de explotabilidad. Simplifique la priorización de vulnerabilidades con Intruder Intruder es una plataforma de seguridad basada en la nube que ayuda a las empresas a administrar su superficie de ataque e identificar vulnerabilidades antes de que puedan ser explotadas. Al ofrecer monitoreo continuo de la seguridad, administración de la superficie de ataque y priorización inteligente de amenazas, Intruder permite a los equipos concentrarse en los riesgos más críticos mientras simplifica la ciberseguridad. Una captura de pantalla de la plataforma Intruder Intruder está a punto de lanzar una función de priorización de vulnerabilidades, impulsada por el Exploit Prediction Scoring System (EPSS), un modelo que aprovecha el aprendizaje automático para predecir la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días. Pronto podrá ver las puntuaciones de EPSS directamente dentro de la plataforma Intruder, lo que le brindará a su equipo un contexto del mundo real para una priorización más inteligente. Estos puntajes se mostrarán junto con el sistema de puntaje existente, que combina puntajes CVSS con aportes del equipo de expertos en seguridad de Intruder para priorizar inteligentemente sus resultados. Regístrese ahora para adelantarse al nuevo lanzamiento. Comience su prueba gratuita de 14 días o reserve algo de tiempo para charlar y obtener más información. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta