Los sistemas de gestión de vulnerabilidades basados en el Common Vulnerability Scoring System (CVSS) pueden tener fallas. Según un nuevo informe de Flashpoint, la mitad de las vulnerabilidades críticas podrían juzgarse mal, así lo informa Securitylab.
Durante los últimos 10 años, CVSS no identificó un promedio del 51,5 % de todas las vulnerabilidades conocidas con una puntuación de 10,0. Esto significa que las organizaciones pueden priorizar los errores que en realidad no alcanzan una puntuación de esos 10,0.
Esto enfatiza aún más que los puntajes CVSS de referencia no deben ser la base de los sistemas de gestión de vulnerabilidades. Flashpoint analizó 11860 vulnerabilidades en los pasados primeros 6 meses de 2022 y descubrió que los servicios CVE/NVD no informaron ni detallaron el 27,3 % de ellas.
Por lo tanto, algunas deficiencias pueden sobreestimar como medida de precaución. Los equipos de ciberseguridad pueden maximizar los recursos y reducir su carga de trabajo en un 82 % si se concentran en solucionar vulnerabilidades de alta gravedad.
¿Por qué las estimaciones incorrectas de CVSS son un gran problema?
Las vulnerabilidades críticas son aquellas que requieren una acción inmediata. Si el modelo CVSS engaña a los profesionales, se centrarán en las tareas equivocadas y se perderán los incidentes de seguridad reales. Muchos expertos en seguridad han notado deficiencias en CVSS durante años, especialmente cuando se usa para evaluar vulnerabilidades de ICS.
Sin embargo, el riesgo de error no siempre se corresponde con el riesgo real para la organización. El puntaje CVSS puede dar una idea de qué problemas podría tener una vulnerabilidad en particular. La evaluación no proporciona información sobre si este error se ha encontrado antes.
Podría haberse utilizado en ataques antes de que se descubriera, por lo que tiene la prioridad más alta para la reparación. Esto no significa que la puntuación CVSS no tenga valor. Es importante evaluar el impacto de una vulnerabilidad en el contexto de una organización: a qué puede conducir y si es fácil de explotar. La evaluación es solo un indicador y no puede reemplazar una adecuada gestión de riesgos.
Centrarse en las vulnerabilidades críticas
Flashpoint cree que los profesionales de la seguridad pueden reducir significativamente su carga de trabajo centrándose primero en las vulnerabilidades peligrosas y críticas que requieren una acción urgente. En lugar de confiar en los puntajes CVSS, los profesionales deben priorizar las necesidades comerciales para reducir los retrasos, que aumentan constantemente con las actualizaciones de seguridad diarias.
Si bien la reparación de los agujeros de seguridad más peligrosos suele ser la primera prioridad, los programas de recompensas por errores y las pruebas de penetración periódicas pueden mejorar la eficacia de la gestión de vulnerabilidades.
Inconsistencia en el número de vulnerabilidades explotadas
Durante el experimento, los expertos de Flashpoint recolectaron 311 vulnerabilidades que se usaron, y el servicio Project Zero de Google incluye 221 errores de este tipo. Esta discrepancia muestra que hay vulnerabilidades en esta categoría que están fuera del alcance del Proyecto Cero.
Si bien no se ha visto que los grupos APT exploten estas fallas en sus ataques, el conocimiento de estos problemas puede ser de gran beneficio para las organizaciones privadas, ya que los errores afectan el software ampliamente utilizado y las tecnologías emergentes como blockchain.
¿Qué significa todo esto para la gestión de parches?
La gestión de parches puede ser útil, ya que las divulgaciones de vulnerabilidades suelen inspirar muchas PoC de prueba de concepto disponibles públicamente que pueden ser explotadas por varios atacantes fuera de las APT. Arreglar una vulnerabilidad puede ser un problema para los profesionales de la seguridad, ya que no es lo mismo que hacer clic en un botón para actualizar.
Este proceso puede llevar semanas o incluso meses. El cumplimiento a veces puede crear una falsa sensación de seguridad; sin embargo, el software desactualizado representa un grave riesgo para las organizaciones y, a menudo, es la causa principal de los ciberataques masivos.
