{"id":1377075,"date":"2024-09-26T12:14:44","date_gmt":"2024-09-26T12:14:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/epss-vs-cvss-cual-es-el-mejor-enfoque-para-la-priorizacion-de-vulnerabilidades\/"},"modified":"2024-09-26T12:14:49","modified_gmt":"2024-09-26T12:14:49","slug":"epss-vs-cvss-cual-es-el-mejor-enfoque-para-la-priorizacion-de-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/epss-vs-cvss-cual-es-el-mejor-enfoque-para-la-priorizacion-de-vulnerabilidades\/","title":{"rendered":"EPSS vs. CVSS: \u00bfCu\u00e1l es el mejor enfoque para la priorizaci\u00f3n de vulnerabilidades?"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Muchas empresas conf\u00edan en el Sistema de puntuaci\u00f3n de vulnerabilidades comunes (CVSS) para evaluar la gravedad de las vulnerabilidades y establecer prioridades. Si bien estas puntuaciones brindan cierta informaci\u00f3n sobre el impacto potencial de una vulnerabilidad, no tienen en cuenta los datos de amenazas del mundo real, como la probabilidad de explotaci\u00f3n. Dado que se descubren nuevas vulnerabilidades a diario, los equipos no tienen tiempo (ni presupuesto) para perder en solucionar vulnerabilidades que en realidad no reducir\u00e1n el riesgo.<\/p>\n

Contin\u00fae leyendo para obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo se comparan CVSS y EPSS y por qu\u00e9 el uso de EPSS cambia las reglas del juego en su proceso de priorizaci\u00f3n de vulnerabilidades. <\/p>\n

\u00bfQu\u00e9 es la priorizaci\u00f3n de vulnerabilidades?<\/h2>\n

La priorizaci\u00f3n de vulnerabilidades es el proceso de evaluar y clasificar las vulnerabilidades en funci\u00f3n del impacto potencial que podr\u00edan tener en una organizaci\u00f3n. El objetivo es ayudar a los equipos de seguridad a determinar qu\u00e9 vulnerabilidades deben abordarse, en qu\u00e9 plazo o si es necesario solucionarlas. Este proceso garantiza que los riesgos m\u00e1s cr\u00edticos se mitiguen antes de que puedan explotarse y es una parte esencial de Gesti\u00f3n de la superficie de ataque<\/a>.<\/p>\n

En un mundo ideal, los equipos de seguridad podr\u00edan remediar cada vulnerabilidad tan pronto como se descubre, pero eso no es posible ni eficiente. Las investigaciones han demostrado<\/a> que la mayor\u00eda de los equipos solo pueden remediar entre el 10 y el 15 % de sus vulnerabilidades abiertas por mes, por lo que priorizar de manera efectiva es tan importante.<\/p>\n

En definitiva, una correcta priorizaci\u00f3n de las vulnerabilidades garantiza que las organizaciones puedan hacer el mejor uso de sus recursos. \u00bfPor qu\u00e9 es importante? Porque las empresas no pueden permitirse gastar dinero en cosas que no marquen una diferencia, y la gesti\u00f3n de riesgos consiste en asegurarse de que el dinero se gaste en reducir realmente el riesgo.<\/p>\n

Las limitaciones de CVSS para la priorizaci\u00f3n de vulnerabilidades<\/h2>\n

Hist\u00f3ricamente, una de las formas m\u00e1s comunes en que las organizaciones priorizan las vulnerabilidades es mediante el uso de Puntuaciones base del CVSS<\/a>.<\/p>\n

Las puntuaciones base del CVSS se determinan en funci\u00f3n de factores que son constantes a lo largo del tiempo y de los entornos de los usuarios, como la facilidad y los medios t\u00e9cnicos con los que se puede explotar una vulnerabilidad y las consecuencias de una explotaci\u00f3n exitosa. Estos factores se cuantifican y se combinan para generar una puntuaci\u00f3n final entre 0 y 10: cuanto m\u00e1s alta sea la puntuaci\u00f3n, mayor ser\u00e1 la gravedad.<\/p>\n

Las puntuaciones CVSS ofrecen una base y una forma estandarizada de evaluar la gravedad y, a veces, son necesarias para el cumplimiento. Sin embargo, tienen limitaciones que hacen que confiar en ellas sea menos eficiente que considerarlas junto con fuentes de datos en tiempo real.<\/p>\n

Una de las principales limitaciones de las puntuaciones CVSS es que no tienen en cuenta el panorama de amenazas actual, como por ejemplo si una vulnerabilidad se est\u00e1 explotando activamente en la naturaleza. Esto significa que una vulnerabilidad con una puntuaci\u00f3n CVSS alta puede no ser necesariamente el problema m\u00e1s cr\u00edtico al que se enfrenta una organizaci\u00f3n. CVE-2023-48795<\/a>por ejemplo. Su puntuaci\u00f3n CVSS actual es 5,9, que es “media”. Pero si se consideran otras fuentes de inteligencia de amenazas, como EPSS<\/a>Ver\u00e1s que hay una gran posibilidad de que sea explotado dentro de los pr\u00f3ximos 30 d\u00edas (al momento de escribir esto).<\/p>\n

Esto demuestra la importancia de adoptar un enfoque m\u00e1s hol\u00edstico para la priorizaci\u00f3n de vulnerabilidades que tenga en cuenta no s\u00f3lo los puntajes CVSS sino tambi\u00e9n la inteligencia de amenazas en tiempo real.<\/p>\n

Mejorar la priorizaci\u00f3n con datos de explotaci\u00f3n<\/h2>\n

Para mejorar la priorizaci\u00f3n de vulnerabilidades, las organizaciones deben ir m\u00e1s all\u00e1 de las puntuaciones CVSS y considerar otros factores, como la actividad de explotaci\u00f3n identificada en la red. Una fuente valiosa para esto es EPSS, un modelo desarrollado por PRIMERO<\/a>.<\/p>\n

\u00bfQu\u00e9 es EPSS?<\/h3>\n

EPSS es un modelo que proporciona una estimaci\u00f3n diaria de la probabilidad de que una vulnerabilidad sea explotada en la red en los pr\u00f3ximos 30 d\u00edas. El modelo genera una puntuaci\u00f3n entre 0 y 1 (0 y 100 %), donde las puntuaciones m\u00e1s altas indican una mayor probabilidad de explotaci\u00f3n.<\/p>\n

El modelo funciona recopilando una amplia gama de informaci\u00f3n sobre vulnerabilidades de varias fuentes, como la Base de datos nacional de vulnerabilidades (NVD), CISA KEV y Exploit-DB, junto con evidencia de actividad de explotaci\u00f3n. Mediante el aprendizaje autom\u00e1tico, entrena su modelo para identificar patrones sutiles entre estos puntos de datos, lo que le permite predecir la probabilidad de explotaci\u00f3n futura.<\/p>\n

Comparaci\u00f3n entre CVSS y EPSS<\/h3>\n

Entonces, \u00bfc\u00f3mo exactamente ayudan los puntajes EPSS a mejorar la priorizaci\u00f3n de la vulnerabilidad?<\/p>\n

El diagrama a continuaci\u00f3n ilustra un escenario en el que se priorizan las vulnerabilidades con una puntuaci\u00f3n CVSS de 7 o superior para su reparaci\u00f3n. El c\u00edrculo azul representa todas estas vulnerabilidades de riesgo observadas el 1 de octubre de 2023. En rojo, se pueden ver todas las vulnerabilidades de riesgo observadas con puntuaciones CVSS que se explotaron en los 30 d\u00edas siguientes.<\/p>\n

Como puede ver, la cantidad de vulnerabilidades que fueron explotadas in situ representa una peque\u00f1a cantidad de las vulnerabilidades con una puntuaci\u00f3n CVSS de 7 o superior.<\/p>\n\n\n\n\n
\"Priorizaci\u00f3n<\/a><\/td>\n<\/tr>\n
Fuente original: FIRST.org<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Comparemos esto con un escenario donde las vulnerabilidades se priorizan seg\u00fan un umbral EPSS establecido en el 10%.<\/p>\n

Una diferencia notable entre los dos diagramas que se muestran a continuaci\u00f3n es el tama\u00f1o de los c\u00edrculos azules, que indican la cantidad de vulnerabilidades que deben priorizarse. Esto da una idea de la cantidad de esfuerzo que se requiere para cada estrategia de priorizaci\u00f3n. Con un umbral de EPSS del 10 %, el esfuerzo es significativamente menor, ya que hay muchas menos vulnerabilidades para priorizar, lo que reduce el tiempo y los recursos necesarios. La eficiencia tambi\u00e9n es significativamente mayor, ya que las organizaciones pueden centrarse en las vulnerabilidades que tendr\u00edan el mayor impacto si no se abordaran primero. <\/p>\n\n\n\n\n
\"Priorizaci\u00f3n<\/a><\/td>\n<\/tr>\n
Fuente original: FIRST.org<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Al tener en cuenta el EPSS al priorizar las vulnerabilidades, las organizaciones pueden alinear mejor sus esfuerzos de remediaci\u00f3n con el panorama de amenazas real. Por ejemplo, si el EPSS indica una alta probabilidad de explotaci\u00f3n para una vulnerabilidad con una puntuaci\u00f3n CVSS relativamente baja, los equipos de seguridad podr\u00edan considerar priorizar esa vulnerabilidad sobre otras que pueden tener puntuaciones CVSS m\u00e1s altas pero una menor probabilidad de explotaci\u00f3n.<\/p>\n

Simplifique la priorizaci\u00f3n de vulnerabilidades con Intruder<\/h2>\n

Intruso<\/a> es una plataforma de seguridad basada en la nube que ayuda a las empresas a gestionar su superficie de ataque e identificar vulnerabilidades antes de que puedan ser explotadas. Al ofrecer monitoreo de seguridad continuo, administraci\u00f3n de la superficie de ataque y priorizaci\u00f3n inteligente de amenazas, Intruder permite a los equipos centrarse en los riesgos m\u00e1s cr\u00edticos y, al mismo tiempo, simplificar la ciberseguridad.<\/p>\n\n\n\n\n
\"Priorizaci\u00f3n<\/a><\/td>\n<\/tr>\n
Una captura de pantalla de la plataforma Intruder<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Intruder est\u00e1 a punto de lanzar una funci\u00f3n de priorizaci\u00f3n de vulnerabilidades, impulsada por el Sistema de puntuaci\u00f3n de predicci\u00f3n de vulnerabilidades (EPSS), un modelo que aprovecha el aprendizaje autom\u00e1tico para predecir la probabilidad de que se explote una vulnerabilidad en los pr\u00f3ximos 30 d\u00edas. <\/p>\n

Pronto podr\u00e1 ver las puntuaciones EPSS directamente en la plataforma Intruder, lo que le dar\u00e1 a su equipo un contexto real para una priorizaci\u00f3n m\u00e1s inteligente. Estas puntuaciones se mostrar\u00e1n junto con el sistema de puntuaci\u00f3n existente, que combina las puntuaciones CVSS con la informaci\u00f3n del equipo de expertos en seguridad de Intruder para priorizar sus resultados de manera inteligente.<\/p>\n

Reg\u00edstrate ahora para estar al tanto del nuevo lanzamiento. Comienza tu Prueba gratuita de 14 d\u00edas<\/a> o reserve un tiempo para charlar y aprender m\u00e1s. <\/em><\/p>\n

<\/p>\n

\u00bfTe result\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n