El Common Vulnerability Scoring System (CVSS) es un marco público para calificar la gravedad de las vulnerabilidades de seguridad en el software. Es neutral en cuanto a aplicaciones y proveedores, lo que permite que una organización califique sus vulnerabilidades de TI en una amplia gama de productos de software, desde sistemas operativos y bases de datos hasta aplicaciones web, utilizando el mismo marco de calificación.
Se trata de un sistema de puntaje diseñado para proveer un método abierto y estándar que permite estimar el impacto derivado de vulnerabilidades identificadas en Tecnologías de Información, es decir, contribuye a cuantificar la severidad que pueden representar dichas vulnerabilidades. Actualmente se utiliza la versión 3.1 por lo que se le conoce como CVSS 3.1
Al entender qué es CVSS, para determinar el impacto que representa una vulnerabilidad se utiliza una escala que va del 0 al 10. La severidad se considera baja si el puntaje obtenido luego de aplicar la fórmula CVSS resulta entre 0.0 y 3.9. El impacto es medio si el resultado se ubica entre 4.0 y 6.9. Se considera alto cuando el puntaje cae dentro del rango 7.0 y 10.0. Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas: base, temporal y de entorno, cada una se conforma a su vez de un conjunto de otras métricas, como lo veremos a continuación.
Para calcular un puntaje asociado a una vulnerabilidad, CVSS utiliza tres grupos de métricas: base, temporal y de entorno, cada una se conforma a su vez de un conjunto de otras métricas, como lo veremos a continuación.
- Las métricas base representan las características intrínsecas a la vulnerabilidad, que son constantes en el tiempo y en el entorno del usuario. Incluyen las métricas de vector de acceso, complejidad de acceso y autenticación, de manera que permiten definir cómo se puede acceder a una vulnerabilidad y si se cumplen las condiciones para ser explotada. La severidad de las tres métricas mide la manera en la que una vulnerabilidad, si se explota, afecta de forma directa a los activos de TI. Los impactos se determinan de manera independiente, como el grado de pérdida de confidencialidad, integridad y disponibilidad, ya que una vulnerabilidad podría causar pérdida parcial de integridad y disponibilidad, pero tal vez no afecte la confidencialidad.
- El segundo grupo corresponde a las métricas temporales, que representan las características de una vulnerabilidad que pueden cambiar en el tiempo, pero que son constantes en el ambiente de un usuario. Debido a que los riesgos planteados por una vulnerabilidad pueden cambiar a lo largo del tiempo, se consideran tres factores que influyen en ello: confirmación de los detalles técnicos de la vulnerabilidad (explotabilidad), el nivel de remediación y el reporte de confianza, referido a la disponibilidad del código o técnicas que permitan la explotación. Estas métricas son opcionales e incluyen un valor que no afecta a la evaluación cuando un usuario cree que la métrica en particular no existe y quiere omitirla.
- Las métricas de entorno corresponden al tercer grupo y representan las características de una vulnerabilidad que son relevantes y únicas para el entorno de un usuario en particular. Se definen debido a los distintos ambientes que pueden denotar una gran influencia sobre el riesgo que representa una vulnerabilidad para una organización. Este grupo de métricas se enfoca en las características de una vulnerabilidad asociadas al entorno del usuario. Incluyen el daño potencial colateral, distribución de objetivos y los requisitos de confidencialidad, integridad y disponibilidad. Al igual que las métricas temporales, son opcionales y cada una tiene un valor sin efecto en la evaluación, el cual es utilizado cuando un usuario considera que la métrica en particular no existe y la omite.
Cómo funciona la puntuación
Una puntuación CVSS puede estar entre 0,0 y 10,0, siendo 10,0 la más grave. Para ayudar a transmitir los puntajes CVSS a las partes interesadas menos técnicas, FIRST asigna los puntajes CVSS a las siguientes calificaciones cualitativas:
- 0.0 = Ninguno
- 0,1-3,9 = bajo
- 4.0-6.9 = Medio
- 7.0-8.9 = Alto
- 9.0 – 10.0 = Crítico
El puntaje base es obligatorio mientras que el puntaje temporal es opcional, y ambos son proporcionados por el proveedor o analista. La puntuación del grupo medioambiental la calcula el usuario final y también es opcional.
El único requisito para categorizar una vulnerabilidad con una puntuación CVSS es completar los componentes de la puntuación base: la subpuntuación de Explotabilidad, la subpuntuación de Impacto y la subpuntuación de Alcance. Estos puntajes se utilizan para calcular el puntaje base general usando una fórmula que pondera cada subpuntaje.
La puntuación temporal se calcula multiplicando la puntuación base por las tres métricas dentro de la métrica temporal, mientras que la puntuación del entorno es un cálculo más complejo con las cinco métricas que se utilizan para volver a calcular las puntuaciones base y temporal para dar una evaluación más precisa de la gravedad. de una vulnerabilidad en el contexto de la forma en que se despliega el componente vulnerable.