Se ha publicado oficialmente la última versión del Sistema Común de Puntuación de Vulnerabilidades (CVSS v4). La nueva versión del sistema, brinda mejoras y funcionalidades adicionales que llevarán la evaluación de vulnerabilidades a un nuevo nivel.
CVSS (Common Vulnerability Scoring System) se trata de un sistema de puntuación que proporciona un estándar abierto, el cual ha sido un pilar fundamental en la gestión de vulnerabilidades IT a nivel mundial desde su introducción en 2005. A lo largo de los años, ha experimentado diversas revisiones y actualizaciones para seguir siendo relevante y adaptarse a las cambiantes amenazas y tecnologías.
Los retos propuestos por la versión CVSS v3 y los objetivos a cumplir en esta nueva versión CVSS v4 son los siguientes:
- La puntuación base de CVSS usada como entrada para el análisis de riesgo. La puntuación base del CVSS es, en efecto, un factor clave para determinar la gravedad de una vulnerabilidad. Sin embargo, no debería ser el único factor determinante, ya que solo considera los aspectos técnicos de la vulnerabilidad, sin tener en cuenta el contexto empresarial, la criticidad de los activos o el panorama de amenazas, que son igualmente importantes en un análisis de riesgos holísticos.
- Solamente es pertinente para sistemas IT. CVSS se diseñó principalmente para sistemas informáticos de software y hardware. Como tal, puede no captar algunos matices específicos de los sistemas no informáticos o de las tecnologías operativas que pueden tener perfiles de riesgo y consecuencias diferentes si se ven comprometidos.
- Las puntuaciones publicadas por los proveedores son normalmente altas o críticas (7.0+). Esto puede ser un problema si los vendedores exageran la gravedad de las vulnerabilidades. Sin embargo, este problema radica más en la aplicación del CVSS por parte del proveedor que en el propio sistema.
- Falta de precisión – menos de 99 puntuaciones CVSS son discretas en la práctica. Aunque CVSS ofrece un sistema de puntuación basado en decimales, el uso práctico suele dar lugar a pocas puntuaciones discretas, lo que limita su nivel de detalle. Un sistema más granular podría ofrecer una mejor diferenciación entre vulnerabilidades.
- Las métricas temporales no tienen un impacto real en la puntuación CVSS. Las métricas temporales en CVSS, que incluyen factores como el estado actual del exploit y el nivel de remediación, suelen tener menos peso en la puntuación final. Aunque su inclusión es importante, su impacto puede no ser tan significativo como sería deseable.
- El proceso de cálculo es complicado y contradictorio. La puntuación CVSS implica complejas ecuaciones matemáticas para garantizar una representación equilibrada de diversos factores. Para los usuarios no técnicos, esta complejidad puede resultar abrumadora y parecer contradictoria. La simplificación, sin menospreciar la precisión, podría mejorar la usabilidad y la comprensión del sistema.
Además, el equipo de NIST hace autocrítica e hincapié en la complejidad y la naturaleza aparentemente arbitraria del algoritmo de puntuación CVSS. El sistema de puntuación CVSS fue desarrollado por un equipo diverso de expertos y se basa en una amplia investigación y análisis. Aunque pueda parecer confuso, es el producto de un proceso deliberado para equilibrar una variedad de factores diferentes en la puntuación de vulnerabilidades. Además, hacen énfasis en que siempre debe buscarse la mejora continua y la simplificación.
¿Cuáles son las novedades de CVSS v4?
A pesar de que en las siguientes secciones se detallarán cuáles son las novedades principales de CVSS v4, de manera genérica se pueden resumir en los siguientes puntos:
- Mayor nivel de detalle en las métricas base.
- Se eliminan aspectos que causan ambigüedad.
- Se simplifican las métricas de amenazas y se mejoran las puntuaciones del nivel de impacto.
- Se incorporan atributos complementarios para las respuestas ante vulnerabilidades.
- CVSS v4, a diferencia de CVSS v3.X, se puede aplicar a sistemas OT/ICS/IoT
Calculadora CVSS v4
Al igual que en las métricas, la calculadora de CVSS v4 incorpora varias novedades:
- Se usan grupos de métricas para incorporar 15 millones de vectores CVSS en 271 conjuntos equivalentes.
- Se ha solicitado la opinión de expertos para comparar los vectores que representan cada conjunto equivalente.
- Se calcula el orden de los vectores desde el menos severo al de mayor criticidad.
- Se determinan los límites entre lasValoraciones de Severidad Cualitativas< (Qualitative Severity Ratings) compatibles con los límites de severidad cualitativos deCVSS v3.X<.
- Se agrupan los vectores de severidad cualitativa dentro del número de puntuaciones disponibles en un conjunto concreto (por ejemplo, 9.0 a 10.0 para riesgo crítico, 7.0 a 8.9 para riesgo alto, etc.).
- Se hace uso de la interpolación para ajustar las puntuaciones en un grupo de vectores, de manera que se aseguren los cambios en el valor de los resultados de cualquier métrica al tener lugar un cambio de puntuación.
El enlace de acceso a esta calculadora se puede encontrar aquí y un curso gratuito sobre CVSS v4.0.