Leer Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (1 de…)
SSVC – Categorización de vulnerabilidades específicas de las partes
interesadas
El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie
Mellon, en colaboración con CISA, creó el sistema de Categorización de
Vulnerabilidades Específicas para las Partes Interesadas
(SSVC – Stakeholder-Specific Vulnerability Categorization ) en
2019 para proporcionar a la comunidad cibernética una metodología de análisis
de vulnerabilidades que considere el estado de explotación de una
vulnerabilidad, su impacto en la seguridad y la prevalencia del producto
afectado en un sistema específico.
CISA colaboró con SEI en 2020 para desarrollar su propio árbol de decisiones
SSVC personalizado para examinar las vulnerabilidades relevantes para el
gobierno de los Estados Unidos (USG), así como para los gobiernos estatales,
locales, tribales y territoriales (SLTT), y las entidades de infraestructura
crítica. La implementación de SSVC ha permitido a CISA priorizar mejor su
respuesta a las vulnerabilidades y la comunicación pública sobre ellas.
¿Qué es un SSVC?
El SSVC es un marco de toma de decisiones diseñado para ayudar a los equipos
de seguridad a priorizar y responder a las vulnerabilidades de manera
eficiente. A diferencia del CVSS, que se centra en la gravedad técnica, el
SSVC se centra en la respuesta operativa necesaria, es decir, qué acción se
debe tomar y con qué urgencia.
El SSVC utiliza un «árbol de decisiones» para guiar a los analistas a través
de una serie de preguntas contextuales, como:
- ¿Es explotable la vulnerabilidad?
- ¿Existe una explotación conocida públicamente?
- ¿Qué tipo de impacto podría causar?
Cómo CISA utiliza SSVC
CISA utiliza su propio modelo de árbol de decisiones SSVC para priorizar las
vulnerabilidades relevantes en cuatro posibles decisiones:
-
Track (Seguimiento): La vulnerabilidad no requiere acción por el
momento. La organización continuará monitoreando la vulnerabilidad y la
reevaluará si se dispone de nueva información. CISA recomienda remediar las
vulnerabilidades de seguimiento dentro de los plazos de actualización
estándar. -
Track* (Seguimiento*): La vulnerabilidad contiene características
específicas que podrían requerir una monitorización más estrecha para
detectar cambios. CISA recomienda remediar las vulnerabilidades Track*
dentro de los plazos de actualización estándar. -
Attend (Atención): La vulnerabilidad requiere la atención de los
supervisores internos de la organización. Las acciones necesarias incluyen
solicitar asistencia o información sobre la vulnerabilidad, y pueden
implicar la publicación de una notificación interna o externa. CISA
recomienda remediar las vulnerabilidades de Atención antes de los plazos de
actualización estándar. -
Act (Actuar): La vulnerabilidad requiere la atención de los miembros
internos, supervisores y directivos de la organización. Las acciones
necesarias incluyen solicitar asistencia o información sobre la
vulnerabilidad, así como publicar una notificación interna o externa.
Normalmente, los grupos internos se reúnen para determinar la respuesta
general y luego ejecutan las acciones acordadas. CISA recomienda remediar
las vulnerabilidades de Actuar lo antes posible.

El árbol CISA SSVC determina las decisiones de Track , Track
*, Attend y Act en función de cinco valores:
- Estado de explotación
- Impacto técnico
- Automatizable
- Prevalencia de la misión
- Impacto en el bienestar público
Uso de SSVC
SVC es una metodología para priorizar la respuesta a la vulnerabilidad según
las necesidades de las distintas partes interesadas. Sus conceptos centrales
son:
-
Roles de las partes interesadas
: Los distintos participantes en el proceso de respuesta a
vulnerabilidades tienen distintas necesidades y prioridades. Los roles
pueden incluir proveedores de parches, implementadores, coordinadores y
otros.
-
Decisiones
: Cada rol de parte interesada debe tomar decisiones sobre cómo responder a
las vulnerabilidades. Para un proveedor, la decisión podría ser sobre cómo
priorizar la creación de parches. Para un implementador, la decisión podría
ser sobre cómo priorizar la implementación de parches. Los coordinadores
generalmente deben decidir si coordinar una respuesta y si publicar
información sobre una vulnerabilidad que han coordinado. -
Puntos de decisión
: Cada decisión se basa en un conjunto de datos o puntos de decisión. Estos
son los factores que influyen en la decisión. Por ejemplo, la decisión de
implementar un parche podría verse influenciada por la gravedad de la
vulnerabilidad, la disponibilidad de un exploit y el impacto de la
vulnerabilidad en el sistema. -
Resultados
: Cada decisión tiene un conjunto de posibles resultados. Estos son los
posibles resultados de la decisión. Por ejemplo, una decisión sobre la
implementación de un parche podría tener resultados como «inmediato»,
«programado», «diferido» y «fuera de ciclo».
Comenzar un proceso SSVC desde cero
Usar SSVC para priorizar la respuesta a vulnerabilidades requiere algunos
pasos:
-
Preparar: definir la decisión que desea tomar, los resultados que le
interesan, los puntos de decisión que utilizará para tomar la decisión, la
tabla de decisiones, los datos que necesita para informar los puntos de
decisión y el proceso para mantener su modelo de decisión. -
Recolectar: recopilar los datos que necesita para tomar decisiones
informadas. -
Utilice SSVC: para tomar decisiones sobre cómo responder a las
vulnerabilidades. - Responder: a las vulnerabilidades según la priorización.
Continuará…
