En este artículo vamos a comentar todos los detalles CVSS y además en la conclusión te explico como CVSS puede ayudarte a mejorar la ciberseguridad en tu organización.
CVSS (Common Vulnerabilyt Scoring System)
CVSS son las siglas de Common Vulnerability Scoring System (Sistema Común de Puntuación de Vulnerabilidades). Es una forma de evaluar y clasificar las vulnerabilidades notificadas de manera estandarizada.
Los valores CVSS se han agrupado también en las clasificaciones que puede haber visto, de Crítico, Alto, Medio y Bajo.Para CVSS v3, son los siguientes:
| CVSS Puntuación Base | CVSS Nivel de Gravedad |
| 0 | Ninguna |
| 0.1 – 3.9 | Baja |
| 4.0 – 6.9 | Media |
| 7.0 – 8.9 | Alta |
| 9.0 – 10.0 | Crítica |
El objetivo de CVSS es ayudarte a comparar vulnerabilidades en diferentes aplicaciones -y de diferentes proveedores- con un enfoque estandarizado, repetible e independiente del proveedor.
CVSS genera una puntuación de 0 a 10 basada en la gravedad de la vulnerabilidad.
Una puntuación de 0 significa que la vulnerabilidad no es importante, más alta con una puntuación de 10, si sólo utiliza CVSS.
LA utilidad de utilizar CVSS es poder dedicar los recursos priorizando en función de la gravedad de las vulnerabilidades. Así puedes centrarse primero en las más críticas y reducir el riesgo global para su organización.
Índice
¿Cómo se calcula la puntuación CVSS?
El cálculo de la puntuación CVSS se realiza evaluando los siguientes factores
Vector de ataque
Red.- Es alcanzable desde una red IP.
Adyacente.- Es alcanzable desde una subred, por ejemplo bluetooth, o una subred 801.11 sin routers.
Local .- El atacante tiene que tener acceso a recursos locales, por ejemplo al disco local, mediante permisos en el sistema de archivos.
Físico. Requiere que el atacante tenga acceso físico al recurso. Por ejemplo, reiniciar un sistema, con un sistema operativo diferente.
El valos más alto se asigna al vector Red, y el más bajo al vector físico.
Complejidad de ataque
La Complejidad de Ataque se reduce a lo difícil que es explotar la vulnerabilidad.Existen dos valores posibles para esto, que son:
Baja o
Alta.
La complejidad de ataque baja generará la puntuación más alta.
Privilegios requeridos
Indica qué privilegios necesita tener el atacante ANTES de explotar la vulnerabilidad. Los valores posibles son:
Ninguno,
Bajo, o
Alto.
Ninguno significa que no hay acceso a ninguna configuración o archivo del sistema, Bajo significa que el usuario tiene capacidades básicas y Alto significa que se necesitan privilegios de nivel administrativo.
Interacción con el usuario
Define cómo debe interactuar el usuario para explotar con éxito la vulnerabilidad. Las opciones son:
Ninguna o
Requerido.
Cuando no se requiere ningún usuario, el impacto en la puntuación CVSS es el más alto.
Alcance
Este es un factor un poco más difícil de entender. Aquí se trata de medir si la vulnerabilidad puede afectar a elementos que están fuera del componente afectado.
Los valores aquí son:
Sin modificar o
Modificado,
Ejemplos de ámbito:
Un sistema operativo.- Si el ataque se centra en el ámbito del sistema operativo y no puede salir, tenemos un alcance «Sin modificar»
podrían ser una aplicación, si el ataque a esa aplicación permite acceder también al sistema opeativo y otras aplicaciones tenemos un alcance: Modificado.
Un «alcance modificado» tiene el mayor impacto que un alcance «sin modificar»
Confidencialidad
La confidencialidad es la posibilidad de acceso no autorizado a información sensible.
Por ejemplo.- Entrar en la base de datos de una agencia de viajes, y descargar todos los datos de los clientes.
Los valores posibles son:
Alto,
Bajo o
Ninguna.
Integridad
Este componente mide el potencial de modificación no autorizada, una violación de datos o la eliminación de datos. Los valores potenciales son:
Por ejemplo.- Acceder a la base de datos de un comercio online y modificar los pedidos, poner el estado de pagado para que envíen mercancías a una dirección sin realizar el pago.
Alto,
Bajo o
Ninguno.
Alto es el más grave.
Disponibilidad
La disponibilidad intenta medir el potencial de denegación de acceso a usuarios autorizados.
Por ejemplo, un ataque de denegación de servicio a una aplicación web, que impida a los usuarios legítimos acceder a este recurso.
Los valores potenciales para la Disponibilidad son:
Alta,
Baja, o
Ninguna.
Alta es la más grave.
Ejemplo de cálculo de CVSSv3
Vamos a hacer un ejemplo muy sencillo:
Supongamos que tenemos una máquina publicada en Internet con una aplicación web muy antigua que requiere de Windows7 como sistema operativo.
La aplicación contiene los datos médicos de una compañía de seguros y tiene que estar disponible para los clientes 24×7.
Vamos a calcular su CVSS usando esta calculadora web cvss en linea del NIST:
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
Vector de ataque: Red, ya que la máquina es accesible desde Internet.
Complejidad del ataque: Bajo, ya que W7 es un sistema operativo extinto y tiene vulnerabilidades reconocidas por el fabricante, hay múltiples exploits automáticos.
Privilegios requeridos: Ninguno, no hace falta ninguna credencial de usuario para obtener acceso a la máquina, mediante los exploits de Windows 7.
Interacción de usuario: Ninguna, no es necesario que el usuario haga click, el exploit no requiere la interacción del usuario.
Ámbito: Modificado, una vez obtenido acceso de administrador al sistema operativo, el acceso a los datos de la aplicación es fácil.
Confidencialidad: Alta, los datos que almacena la aplicación son datos médicos, especialmente sensibles.
Integridad: Alta, si el atacante borra los datos de un usuario, este se puede quedar sin seguro médico, luego el impacto en la integridad es alto.
Disponibilidad: Alta, la aplicación debe de funcionar las 24 horas.
Si introducimos los valores en la utilidad online, tenemos una puntuación CVSS de 10 CRITICA
Conclusión:
Los recursos en una organización son limitados, y los dedicados a la ciberseguridad no son una excepción.
Comprender cómo funciona el la puntuación CVSS y qué factores contribuyen al cálculo es útil ya que permite priorizar y tomar decisiones mejor informadas sobre qué vulnerabilidades abordar y en qué orden.
CVSS mejora la seguridad de tu organización ya que simplifica la gestión de las amenazas de ciberseguridad, de manera que simplemente hay que priorizar en mitigar aquellas que tengan una puntuación CVSS más alta.
