Los equipos de ciberseguridad suelen exhibir un aire de cansancio y agotamiento cuando se habla de gestión de vulnerabilidades y parches. La creciente base de datos de vulnerabilidades conocidas, especialmente aquellas que comienzan como «zero-days», y el análisis del sistema de puntuación de vulnerabilidades han generado una gran incertidumbre en el sector. Durante la reciente conferencia Black Hat Europe, Ankur Sand y Syed Islam, expertos en ciberseguridad de JPMorganChase, presentaron su exposición titulada «La Decepción del CVSS: Cómo Nos Hemos Visto Engañados sobre la Severidad de las Vulnerabilidades», atrayendo la atención de una sala abarrotada.
En su presentación, los profesionales examinaron los puntajes del Common Vulnerability Scoring System (CVSS), con el objetivo de encontrar formas de mitigar la carga relacionada con las vulnerabilidades y su parcheo. Aunque su análisis se centró en la versión 3 del sistema, anticiparon que sus conclusiones también aplicarían a la versión 4. Abordaron seis áreas que requieren mayor claridad para que los equipos puedan tomar decisiones informadas sobre la urgencia de parchear. Dos de esos puntos llamaron particularmente la atención.
El primer aspecto se relaciona con la puntuación de impacto de las vulnerabilidades, que se desglosa en confidencialidad, integridad y disponibilidad. Cada una de estas categorías se puntúa de manera individual y se combinan para proporcionar un puntaje agregado, el cual se publica finalmente. Sin embargo, si una categoría recibe la puntuación máxima mientras que las otras dos no, la severidad general puede disminuir. Por ejemplo, esto puede hacer que un puntaje superior a 8 se reduzca a 7.5. En 2023, se registraron alrededor de 2,000 de estos casos, lo que podría afectar a las organizaciones que priorizan los puntajes CVSS de 8 o más en sus secuencias de parcheo.
El segundo aspecto que despertó interés es el tema de las dependencias. Un puntaje alto puede implicar que la vulnerabilidad solo sea explotable bajo condiciones específicas. Esto significa que si ciertos factores no están presentes en un entorno particular, la urgencia del parcheo podría ser menor de lo que se asume. Sin embargo, identificar con precisión los activos y sus dependencias es un desafío que solo un equipo de ciberseguridad bien dotado puede abordar. Las pequeñas empresas, muchas de las cuales carecen de los recursos necesarios, pueden verse gravemente afectadas por esta complejidad.
Un ejemplo emblemático mencionado es el de Log4j, el cual sorprendió a numerosas empresas que no estaban al tanto de su dependencia de este software de código abierto. Cada empresa tiene un entorno tecnológico único, y no existe una solución universal. Sin embargo, contar con datos más completos y estándares evolucionados puede ayudar a los equipos a hacer sus propios juicios sobre la severidad y urgencia del parcheo, de acuerdo con sus políticas.
Un ángulo interesante sobre este tema es el papel de los ciberaseguradores. Algunos ya alertan a las empresas sobre la necesidad de parchear sus sistemas basándose en las divulgaciones de vulnerabilidades y parches publicados. A medida que las pólizas de ciberseguro requieren un conocimiento más profundo del entorno de las empresas, los aseguradores podrían ofrecer la información granular necesaria para priorizar efectivamente las vulnerabilidades. Esto no solo beneficiaría la seguridad de las empresas, sino también el rendimiento financiero de los propios aseguradores.
En resumen, la discusión sobre estándares como el CVSS revela la necesidad de que estos marcos se mantengan al día con el panorama de seguridad en constante evolución. La presentación del equipo de JPMorganChase puso de relieve cuestiones clave y aportó un gran valor a la conversación sobre un tema crítico para la industria.
Fuente: WeLiveSecurity by eSet.
