Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (2 de…) ~ Segu-Info


Leer Priorización y gestión de vulnerabilidades: CVSS, EPSS, SSVC y KEV (1 de…)

SSVC – Categorización de vulnerabilidades específicas de las partes
interesadas

El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie
Mellon, en colaboración con CISA, creó el sistema de Categorización de
Vulnerabilidades Específicas para las Partes Interesadas
(SSVC – Stakeholder-Specific Vulnerability Categorization ) en
2019 para proporcionar a la comunidad cibernética una metodología de análisis
de vulnerabilidades que considere el estado de explotación de una
vulnerabilidad, su impacto en la seguridad y la prevalencia del producto
afectado en un sistema específico.

CISA colaboró ​​con SEI en 2020 para desarrollar su propio árbol de decisiones
SSVC personalizado para examinar las vulnerabilidades relevantes para el
gobierno de los Estados Unidos (USG), así como para los gobiernos estatales,
locales, tribales y territoriales (SLTT), y las entidades de infraestructura
crítica. La implementación de SSVC ha permitido a CISA priorizar mejor su
respuesta a las vulnerabilidades y la comunicación pública sobre ellas.

¿Qué es un SSVC?

El SSVC es un marco de toma de decisiones diseñado para ayudar a los equipos
de seguridad a priorizar y responder a las vulnerabilidades de manera
eficiente. A diferencia del CVSS, que se centra en la gravedad técnica, el
SSVC se centra en la respuesta operativa necesaria, es decir, qué acción se
debe tomar y con qué urgencia.

El SSVC utiliza un «árbol de decisiones» para guiar a los analistas a través
de una serie de preguntas contextuales, como:

  • ¿Es explotable la vulnerabilidad?
  • ¿Existe una explotación conocida públicamente?
  • ¿Qué tipo de impacto podría causar?

Cómo CISA utiliza SSVC

CISA utiliza su propio modelo de árbol de decisiones SSVC para priorizar las
vulnerabilidades relevantes en cuatro posibles decisiones:

  • Track (Seguimiento): La vulnerabilidad no requiere acción por el
    momento. La organización continuará monitoreando la vulnerabilidad y la
    reevaluará si se dispone de nueva información. CISA recomienda remediar las
    vulnerabilidades de seguimiento dentro de los plazos de actualización
    estándar.
  • Track* (Seguimiento*): La vulnerabilidad contiene características
    específicas que podrían requerir una monitorización más estrecha para
    detectar cambios. CISA recomienda remediar las vulnerabilidades Track*
    dentro de los plazos de actualización estándar.
  • Attend (Atención): La vulnerabilidad requiere la atención de los
    supervisores internos de la organización. Las acciones necesarias incluyen
    solicitar asistencia o información sobre la vulnerabilidad, y pueden
    implicar la publicación de una notificación interna o externa. CISA
    recomienda remediar las vulnerabilidades de Atención antes de los plazos de
    actualización estándar.
  • Act (Actuar): La vulnerabilidad requiere la atención de los miembros
    internos, supervisores y directivos de la organización. Las acciones
    necesarias incluyen solicitar asistencia o información sobre la
    vulnerabilidad, así como publicar una notificación interna o externa.
    Normalmente, los grupos internos se reúnen para determinar la respuesta
    general y luego ejecutan las acciones acordadas. CISA recomienda remediar
    las vulnerabilidades de Actuar lo antes posible.

El árbol CISA SSVC determina las decisiones de  Track ,  Track
*,  Attend y  Act  en función de cinco valores: 

  • Estado de explotación
  • Impacto técnico
  • Automatizable
  • Prevalencia de la misión
  • Impacto en el bienestar público

Uso de SSVC

SVC es una metodología para priorizar la respuesta a la vulnerabilidad según
las necesidades de las distintas partes interesadas. Sus conceptos centrales
son:

  • Roles de las partes interesadas
    : Los distintos participantes en el proceso de respuesta a
    vulnerabilidades tienen distintas necesidades y prioridades. Los roles
    pueden incluir proveedores de parches, implementadores, coordinadores y
    otros.
  • Decisiones
    : Cada rol de parte interesada debe tomar decisiones sobre cómo responder a
    las vulnerabilidades. Para un proveedor, la decisión podría ser sobre cómo
    priorizar la creación de parches. Para un implementador, la decisión podría
    ser sobre cómo priorizar la implementación de parches. Los coordinadores
    generalmente deben decidir si coordinar una respuesta y si publicar
    información sobre una vulnerabilidad que han coordinado.
  • Puntos de decisión
    : Cada decisión se basa en un conjunto de datos o puntos de decisión. Estos
    son los factores que influyen en la decisión. Por ejemplo, la decisión de
    implementar un parche podría verse influenciada por la gravedad de la
    vulnerabilidad, la disponibilidad de un exploit y el impacto de la
    vulnerabilidad en el sistema.
  • Resultados
    : Cada decisión tiene un conjunto de posibles resultados. Estos son los
    posibles resultados de la decisión. Por ejemplo, una decisión sobre la
    implementación de un parche podría tener resultados como «inmediato»,
    «programado», «diferido» y «fuera de ciclo».

Comenzar un proceso SSVC desde cero

Usar SSVC para priorizar la respuesta a vulnerabilidades requiere algunos
pasos:

  • Preparar: definir la decisión que desea tomar, los resultados que le
    interesan, los puntos de decisión que utilizará para tomar la decisión, la
    tabla de decisiones, los datos que necesita para informar los puntos de
    decisión y el proceso para mantener su modelo de decisión.
  • Recolectar: recopilar los datos que necesita para tomar decisiones
    informadas.
  • Utilice SSVC: para tomar decisiones sobre cómo responder a las
    vulnerabilidades.
  • Responder: a las vulnerabilidades según la priorización.

Continuará…


Ver fuente

Related Post