Mencione la gestión de vulnerabilidades y parches a un equipo de ciberseguridad y todos tendrán la misma mirada consternada de fatiga y agotamiento. La base de datos CVE sigue creciendo a un ritmo considerable, y demasiadas de las vulnerabilidades conocidas empiezan siendo de día cero. Cuando Ankur Sand y Syed Islam, dos diligentes profesionales de la ciberseguridad de JPMorganChase, subieron al escenario de Black Hat Europe 2024 con una presentación titulada "The CVSS Deception: Cómo nos han engañado sobre la gravedad de las vulnerabilidades", la sala estaba repleta.

Los expositores analizaron las puntuaciones del Sistema Común de Puntuación de Vulnerabilidades (CVSS) para destacar cómo se podría reducir los puntos débiles de las vulnerabilidades y la aplicación de parches. Se centraron en la versión 3 de la metodología ―en lugar de la actual versión 4―, pero mencionaron que desde un alto nivel esperan una conclusión similar.

Abarcaron seis áreas que consideraron que necesitan tener más claridad para que los equipos puedan tomar deciciones informadas sobre la urgencia de parchear. A continuación destacaré algunas de ellas:

Los riesgos ocultos tras las puntuaciones CVSS

El primero está relacionado con la puntuación de la vulnerabilidad sobre el impacto que luego se desglosa en confidencialidad, integridad y disponibilidad. Cada una se puntúa individualmente y estas puntuaciones se combinan para proporcionar una puntuación agregada, que finalmente se publica. Si una de las categorías divididas recibe la máxima puntuación pero las otras dos no, se reduce la gravedad global. Por ejemplo, en su análisis, esto suele reducir una puntuación de 8+ a 7,5. Solo en 2023, el equipo detectó 2.000 casos en los que esto ocurría.

Para las organizaciones con una política que prioriza las puntuaciones CVSS de 8+ en sus colas de parcheo, un 7,5 no sería una prioridad, a pesar de que se califique como 8+ en una sola categoría. Y, cuando una categoría es la más importante en un caso específico, la vulnerabilidad puede no recibir la urgencia y la atención que merece. Aunque comprendo perfectamente el problema, también debemos tener en cuenta que el sistema de puntuación tiene que empezar en algún sitio y, hasta cierto punto, ser aplicable a todo el mundo; también hay que recordar que evoluciona.

La otra cuestión que plantearon y que pareció despertar el interés del público es la de las dependencias. Destacaron cómo una vulnerabilidad sólo puede explotarse en determinadas condiciones. Si una vulnerabilidad con una puntuación alta requiere X & Y para ser explotada, peor no existe en el entorno o implementación analizada, podría apresurarse un parcheo que en el contexto tendría una prioridad menor. Lo importante aquí es conocer los activos con un gran nivel de detalle, algo que sólo puede conseguir un equipo de ciberseguridad bien dotado de recursos.

Por desgracia, muchas pequeñas empresas pueden estar en el otro extremo del espectro de estar bien dotadas, con pocos o ningún recurso disponible para operar con eficacia. Y, tener una visión en profundidad de todos los activos en juego, incluso hasta qué dependencias hay dentro de cada activo puede ser una exageración. La mención de Log4j viene al caso: a muchas empresas encontró desprevenidas y no sabían que dependían de un software que contenía este código fuente abierto.

Cada empresa tiene su propio entorno tecnológico con diferentes políticas, por lo que ninguna solución será perfecta para todos. Por otro lado, estoy seguro de que unos datos más completos y unos estándares más evolucionados ayudarán a los equipos a hacer sus propios juicios informados sobre la gravedad de las vulnerabilidades y la severidad de los parches de acuerdo con las políticas de su propia empresa. Pero para las empresas más pequeñas, sospecho que el dolor de la necesidad de parchear sobre la base de la puntuación agregada se mantendrá; la solución es probable que se responda mejor con la automatización siempre que sea posible.

Un punto de vista interesante sobre este tema puede ser el papel de las ciberseguradoras, algunas de las cuales ya alertan a las empresas de la necesidad de parchear los sistemas basándose en la divulgación de vulnerabilidades y parches disponibles públicamente. Dado que las pólizas de ciberseguro exigen un conocimiento más profundo del entorno de una empresa para determinar el riesgo, las aseguradoras podrían disponer de la información detallada necesaria para priorizar las vulnerabilidades de forma eficaz. Esto crea una oportunidad potencial para que las organizaciones minimicen el riesgo.

Los debates sobre normas como CVSS demuestran lo importante que es que estos marcos se mantengan al día con la evolución del panorama de la seguridad. La presentación del equipo de JPMorganChase arrojó luz sobre algunas cuestiones clave y añadió un gran valor a la conversación, por lo que les aplaudo por una gran presentación.