Muchas empresas confían en el Sistema de puntuación de vulnerabilidades comunes (CVSS) para evaluar la gravedad de las vulnerabilidades y establecer prioridades. Si bien estas puntuaciones brindan cierta información sobre el impacto potencial de una vulnerabilidad, no tienen en cuenta los datos de amenazas del mundo real, como la probabilidad de explotación. Dado que se descubren nuevas vulnerabilidades a diario, los equipos no tienen tiempo (ni presupuesto) para perder en solucionar vulnerabilidades que en realidad no reducirán el riesgo.
Continúe leyendo para obtener más información sobre cómo se comparan CVSS y EPSS y por qué el uso de EPSS cambia las reglas del juego en su proceso de priorización de vulnerabilidades.
¿Qué es la priorización de vulnerabilidades?
La priorización de vulnerabilidades es el proceso de evaluar y clasificar las vulnerabilidades en función del impacto potencial que podrían tener en una organización. El objetivo es ayudar a los equipos de seguridad a determinar qué vulnerabilidades deben abordarse, en qué plazo o si es necesario solucionarlas. Este proceso garantiza que los riesgos más críticos se mitiguen antes de que puedan explotarse y es una parte esencial de Gestión de la superficie de ataque.
En un mundo ideal, los equipos de seguridad podrían remediar cada vulnerabilidad tan pronto como se descubre, pero eso no es posible ni eficiente. Las investigaciones han demostrado que la mayoría de los equipos solo pueden remediar entre el 10 y el 15 % de sus vulnerabilidades abiertas por mes, por lo que priorizar de manera efectiva es tan importante.
En definitiva, una correcta priorización de las vulnerabilidades garantiza que las organizaciones puedan hacer el mejor uso de sus recursos. ¿Por qué es importante? Porque las empresas no pueden permitirse gastar dinero en cosas que no marquen una diferencia, y la gestión de riesgos consiste en asegurarse de que el dinero se gaste en reducir realmente el riesgo.
Las limitaciones de CVSS para la priorización de vulnerabilidades
Históricamente, una de las formas más comunes en que las organizaciones priorizan las vulnerabilidades es mediante el uso de Puntuaciones base del CVSS.
Las puntuaciones base del CVSS se determinan en función de factores que son constantes a lo largo del tiempo y de los entornos de los usuarios, como la facilidad y los medios técnicos con los que se puede explotar una vulnerabilidad y las consecuencias de una explotación exitosa. Estos factores se cuantifican y se combinan para generar una puntuación final entre 0 y 10: cuanto más alta sea la puntuación, mayor será la gravedad.
Las puntuaciones CVSS ofrecen una base y una forma estandarizada de evaluar la gravedad y, a veces, son necesarias para el cumplimiento. Sin embargo, tienen limitaciones que hacen que confiar en ellas sea menos eficiente que considerarlas junto con fuentes de datos en tiempo real.
Una de las principales limitaciones de las puntuaciones CVSS es que no tienen en cuenta el panorama de amenazas actual, como por ejemplo si una vulnerabilidad se está explotando activamente en la naturaleza. Esto significa que una vulnerabilidad con una puntuación CVSS alta puede no ser necesariamente el problema más crítico al que se enfrenta una organización. CVE-2023-48795por ejemplo. Su puntuación CVSS actual es 5,9, que es “media”. Pero si se consideran otras fuentes de inteligencia de amenazas, como EPSSVerás que hay una gran posibilidad de que sea explotado dentro de los próximos 30 días (al momento de escribir esto).
Esto demuestra la importancia de adoptar un enfoque más holístico para la priorización de vulnerabilidades que tenga en cuenta no sólo los puntajes CVSS sino también la inteligencia de amenazas en tiempo real.
Mejorar la priorización con datos de explotación
Para mejorar la priorización de vulnerabilidades, las organizaciones deben ir más allá de las puntuaciones CVSS y considerar otros factores, como la actividad de explotación identificada en la red. Una fuente valiosa para esto es EPSS, un modelo desarrollado por PRIMERO.
¿Qué es EPSS?
EPSS es un modelo que proporciona una estimación diaria de la probabilidad de que una vulnerabilidad sea explotada en la red en los próximos 30 días. El modelo genera una puntuación entre 0 y 1 (0 y 100 %), donde las puntuaciones más altas indican una mayor probabilidad de explotación.
El modelo funciona recopilando una amplia gama de información sobre vulnerabilidades de varias fuentes, como la Base de datos nacional de vulnerabilidades (NVD), CISA KEV y Exploit-DB, junto con evidencia de actividad de explotación. Mediante el aprendizaje automático, entrena su modelo para identificar patrones sutiles entre estos puntos de datos, lo que le permite predecir la probabilidad de explotación futura.
Comparación entre CVSS y EPSS
Entonces, ¿cómo exactamente ayudan los puntajes EPSS a mejorar la priorización de la vulnerabilidad?
El diagrama a continuación ilustra un escenario en el que se priorizan las vulnerabilidades con una puntuación CVSS de 7 o superior para su reparación. El círculo azul representa todas estas vulnerabilidades de riesgo observadas el 1 de octubre de 2023. En rojo, se pueden ver todas las vulnerabilidades de riesgo observadas con puntuaciones CVSS que se explotaron en los 30 días siguientes.
Como puede ver, la cantidad de vulnerabilidades que fueron explotadas in situ representa una pequeña cantidad de las vulnerabilidades con una puntuación CVSS de 7 o superior.
Fuente original: FIRST.org |
Comparemos esto con un escenario donde las vulnerabilidades se priorizan según un umbral EPSS establecido en el 10%.
Una diferencia notable entre los dos diagramas que se muestran a continuación es el tamaño de los círculos azules, que indican la cantidad de vulnerabilidades que deben priorizarse. Esto da una idea de la cantidad de esfuerzo que se requiere para cada estrategia de priorización. Con un umbral de EPSS del 10 %, el esfuerzo es significativamente menor, ya que hay muchas menos vulnerabilidades para priorizar, lo que reduce el tiempo y los recursos necesarios. La eficiencia también es significativamente mayor, ya que las organizaciones pueden centrarse en las vulnerabilidades que tendrían el mayor impacto si no se abordaran primero.
Fuente original: FIRST.org |
Al tener en cuenta el EPSS al priorizar las vulnerabilidades, las organizaciones pueden alinear mejor sus esfuerzos de remediación con el panorama de amenazas real. Por ejemplo, si el EPSS indica una alta probabilidad de explotación para una vulnerabilidad con una puntuación CVSS relativamente baja, los equipos de seguridad podrían considerar priorizar esa vulnerabilidad sobre otras que pueden tener puntuaciones CVSS más altas pero una menor probabilidad de explotación.
Simplifique la priorización de vulnerabilidades con Intruder
Intruso es una plataforma de seguridad basada en la nube que ayuda a las empresas a gestionar su superficie de ataque e identificar vulnerabilidades antes de que puedan ser explotadas. Al ofrecer monitoreo de seguridad continuo, administración de la superficie de ataque y priorización inteligente de amenazas, Intruder permite a los equipos centrarse en los riesgos más críticos y, al mismo tiempo, simplificar la ciberseguridad.
Una captura de pantalla de la plataforma Intruder |
Intruder está a punto de lanzar una función de priorización de vulnerabilidades, impulsada por el Sistema de puntuación de predicción de vulnerabilidades (EPSS), un modelo que aprovecha el aprendizaje automático para predecir la probabilidad de que se explote una vulnerabilidad en los próximos 30 días.
Pronto podrá ver las puntuaciones EPSS directamente en la plataforma Intruder, lo que le dará a su equipo un contexto real para una priorización más inteligente. Estas puntuaciones se mostrarán junto con el sistema de puntuación existente, que combina las puntuaciones CVSS con la información del equipo de expertos en seguridad de Intruder para priorizar sus resultados de manera inteligente.
Regístrate ahora para estar al tanto del nuevo lanzamiento. Comienza tu Prueba gratuita de 14 días o reserve un tiempo para charlar y aprender más.