CVSS, calculadora de métricas y vulnerabilidades

(Tomado de segu-info.com.ar) En la fase de Identificación de Riesgos es necesario identificar activos, amenazas, vulnerabilidades e impactos. En este punto vamos a asumir que ya disponemos de los activos de la organización, de las amenazas sobre los activos (ISO 27005 expone un catálogo relativamente amplio de amenazas en su Anexo C) y de las vulnerabilidades de los mismos. ISO 27005 nos invita a que definamos escenarios de incidentes donde se contempla la posibilidad de que una amenaza se aproveche satisfactoriamente de una vulnerabilidad presente en un activo. Estos escenarios son presentados a la persona encarga de evaluarlos (aquella que tenga un conocimiento más amplio de las posibles repercusiones) quien nos dará un valor por Confidencialidad, Integridad y Disponibilidad en cada escenario y atendiendo a los criterios anteriormente fijados.

Ya tenemos nuestros valores de Impacto para Confidencialidad, Integridad y Disponibilidad para cada activo pero… ¿y las dependencias?. Y si tengo un activo de Información que es manejado por una aplicación, puedo tener valores diferentes para cada uno y eso puede resultar incongruente. A este respecto se construye un Arbol de activos de la organización similar al que se refleja en la imagen:

Como se puede observar, cada activo hereda el valor máximo entre:

  • Su propio valor
  • El mayor valor de los activos que dependen de él

de esta forma se pretende reflejar su importancia no sólo como activo de carácter tecnológico o dependencia física sino por cómo contribuye al proceso al que sirve. Y si alguien piensa que por qué no sólo se heredan los valores de los activos de la información, a mi se me ocurren al menos dos motivos, pensadlo bien.

En la práctica

Las métricas de Requisito de Confidencialidad, Requisito de Integridad y Requisito de Disponibilidad, pueden tomar los valores Alto, Medio y Bajo al igual que en el ejemplo que hemos mostrado en la ilustración. Si los niveles son equiparables el mapeo entre ambos dominios, el de CVSS y el de análisis de impacto, serían directos.

Esto implica que, cuando en un escaneo de vulnerabilidades se localice una vulnerabilidad para el software “SOFTWARE 2″, dispondremos de los valores CID para sustituirlos en el vector de entorno por sus valores correspondientes, calculando el valor final de riesgo de la vulnerabilidad para nuestra organización. En caso de que los valores en el dominio del impacto que se fijara en los criterios fuesen diferentes a los existentes en CVSS deberíamos crear una correspondencia entre los dos dominios.

Pues bien, ¿pero todo esto hay que hacerlo a mano?, afortunadamente no, existen calculadoras de vulnerabilidades que te permiten fijar los valores para las diferentes métricas obteniendo un valor final particularizado para la organización.

Aún así, cuando se ha de gestionar una organización en la que los escaneos en busca de vulnerabilidades son frecuentes y las vulnerabilidades en el software relativamente abundantes, es inviable pensar en pasar el tiempo introduciendo valores en una calculadora.

Ahora voy a lanzar una idea al todo de Internet. Lo ideal sería que el propio software de escaneo de vulnerabilidades fuese capaz de integrarse con el de análisis de riesgos hasta el punto de que, con el valor CVSS base y el Temporal en el instante del escaneo, se pudiera calcular automáticamente el valor para el entorno y devolver priorizadas las vulnerabilidades para la organización.

Desconozco si este software existe o si alguien antes ha tenido la misma idea. Por si acaso, si alguien lo implementa en alguna ocasión que sea bajo software libre al completo (todo el producto), y si no es así y la idea la ha leido de aquí, agradezco que cuente conmigo antes de hacerlo.

Fuente: Miguel Angel Hernández

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s