¿Cuántas vulnerabilidades de seguridad existen y cómo se evalúan?
Cada año, las empresas de seguridad y tecnología publican detalles de miles de vulnerabilidades. Los medios informan debidamente sobre esas vulnerabilidades, destacando los problemas más peligrosos y asesorando a los usuarios sobre cómo mantenerse a salvo.
Pero, ¿y si le dijera que de esas miles de vulnerabilidades, pocas se explotan activamente en la naturaleza?
Entonces, ¿cuántas vulnerabilidades de seguridad existen y las empresas de seguridad deciden qué tan grave es una vulnerabilidad?
¿Cuántas vulnerabilidades de seguridad existen?
La serie de informes de Priorización a Predicción de Kenna Security encontró que en 2019, las empresas de seguridad publicaron más de 18,000 CVE (Vulnerabilidades y Exposiciones Comunes).
Si bien esa cifra suena alta, el informe también encontró que, de esas 18.000 vulnerabilidades, solo 473 "alcanzaron una explotación generalizada", que es alrededor del 6 por ciento del total. Aunque estas vulnerabilidades se estaban explotando en Internet, eso no significa que todos los hackers y atacantes del mundo las estuvieran utilizando.
Además, "el código de explotación ya estaba disponible para> 50% de las vulnerabilidades cuando se publicaron en la lista CVE". Que el código de explotación ya estuviera disponible suena alarmante a primera vista, y es un problema. Sin embargo, también significa que los investigadores de seguridad ya están trabajando para solucionar el problema.
La práctica común es parchear las vulnerabilidades dentro de una ventana de publicación de 30 días. Eso no siempre sucede, pero es en lo que trabajan la mayoría de las empresas de tecnología.
El cuadro a continuación ilustra aún más la discrepancia entre el número de CVE reportados y el número realmente explotado.
Alrededor del 75 por ciento de los CVE son detectados por menos de 1 de cada 11.000 organizaciones, y solo el 5,9 por ciento de los CVE son detectados por 1 de cada 100 organizaciones. Esa es bastante la propagación.
Puede encontrar los datos y cifras anteriores en Priorización de la predicción Volumen 6: La división atacante-defensor.
¿Quién asigna los CVE?
Quizás se pregunte quién asigna y crea un CVE para empezar. No cualquiera puede asignar un CVE. Actualmente hay 153 organizaciones de 25 países autorizadas para asignar CVE.
Eso no significa que solo estas empresas y organizaciones sean responsables de la investigación de seguridad en todo el mundo. Lejos de eso, de hecho. Lo que significa es que estas 153 organizaciones (conocidas como Autoridades de numeración CVE, o CNA para abreviar) funcionan según un estándar acordado para la liberación de vulnerabilidades al dominio público.
Es una posición voluntaria. Las organizaciones participantes deben demostrar la "capacidad de controlar la divulgación de información sobre vulnerabilidades sin publicación previa", así como trabajar con otros investigadores que soliciten información sobre las vulnerabilidades.
Hay tres CNA raíz, que se encuentran en la parte superior de la jerarquía:
- Corporación MITRE
- Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) Sistemas de Control Industrial (ICS)
- JPCERT / CC
Todas las demás CNA informan a una de estas tres autoridades de alto nivel. Los CNA informantes son predominantemente empresas de tecnología y desarrolladores y proveedores de hardware con reconocimiento de nombre, como Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, etc. La lista completa de CNA está disponible en el sitio web de MITRE .
Informes de vulnerabilidad
Los informes de vulnerabilidad también se definen por el tipo de software y la plataforma en la que se encuentra la vulnerabilidad. También depende de quién lo encuentre inicialmente.
Por ejemplo, si un investigador de seguridad encuentra una vulnerabilidad en algún software propietario, es probable que lo informe directamente al proveedor. Alternativamente, si la vulnerabilidad se encuentra en un programa de código abierto, el investigador puede abrir un nuevo problema en la página de informes o problemas del proyecto.
Sin embargo, si una persona infame encontrara la vulnerabilidad primero, es posible que no se la revele al proveedor en cuestión. Cuando esto sucede, es posible que los investigadores y proveedores de seguridad no se den cuenta de la vulnerabilidad hasta que se utilice como un exploit de día cero .
¿Cómo califican las empresas de seguridad los CVE?
Otra consideración es cómo las empresas de seguridad y tecnología califican los CVE.
El investigador de seguridad no solo saca un número de la nada y lo asigna a una vulnerabilidad recién descubierta. Existe un marco de calificación que guía la calificación de vulnerabilidades: el Common Vulnerability Scoring System (CVSS).
La escala CVSS es la siguiente:
| Gravedad | Puntuación base |
|---|---|
| Ninguno | 0 |
| Bajo | 0,1-3,9 |
| Medio | 4.0-6.9 |
| Alto | 7.0-8.9 |
| Crítico | 9.0-10.0 |
Para determinar el valor CVSS de una vulnerabilidad, los investigadores analizan una serie de variables que abarcan las métricas de puntuación base, las métricas de puntuación temporal y las métricas de puntuación ambiental.
- Las métricas de puntuación base cubren aspectos como cuán explotable es la vulnerabilidad, la complejidad del ataque, los privilegios requeridos y el alcance de la vulnerabilidad.
- Las métricas de puntuación temporal cubren aspectos como la madurez del código de explotación, si existe una solución para la explotación y la confianza en el informe de la vulnerabilidad.
- Las métricas de puntuación ambiental se ocupan de varias áreas:
- Métricas de explotabilidad: cubren el vector de ataque, la complejidad del ataque, los privilegios, los requisitos de interacción del usuario y el alcance.
- Métricas de impacto: cubriendo el impacto en la confidencialidad, integridad y disponibilidad.
- Impact Subcore: agrega una definición más detallada a las métricas de impacto, que cubre los requisitos de confidencialidad, los requisitos de integridad y los requisitos de disponibilidad.
Ahora, si todo eso suena un poco confuso, considere dos cosas. Primero, esta es la tercera iteración de la escala CVSS. Inicialmente comenzó con el puntaje base antes de agregar las métricas posteriores durante revisiones posteriores. La versión actual es CVSS 3.1.
En segundo lugar, para comprender mejor cómo CVSS denomina puntuaciones, puede utilizar la calculadora CVSS de la base de datos nacional de vulnerabilidades para ver cómo interactúan las métricas de vulnerabilidad.
No hay duda de que calificar una vulnerabilidad "a simple vista" sería extremadamente difícil, por lo que una calculadora como esta ayuda a obtener una puntuación precisa.
Mantenerse seguro en línea
Aunque el informe de seguridad de Kenna ilustra que solo una pequeña proporción de las vulnerabilidades notificadas se convierten en una amenaza grave, una probabilidad de explotación del 6 por ciento sigue siendo alta. Imagínese si su silla favorita tuviera una probabilidad de 6 en 100 de romperse cada vez que se sentara. Lo reemplazarías, ¿verdad?
No tiene las mismas opciones con Internet; es insustituible. Sin embargo, al igual que su silla favorita, puede repararla y asegurarla antes de que se convierta en un problema aún mayor. Hay cinco cosas importantes que debe hacer para decir seguridad en línea y evitar el malware y otras vulnerabilidades:
- Actualizar. Mantenga su sistema actualizado. Las actualizaciones son la principal forma en que las empresas de tecnología mantienen su computadora segura, reparando vulnerabilidades y otros defectos.
- Antivirus. Puede leer cosas en línea como "ya no necesita un antivirus" o "el antivirus es inútil". Claro, los atacantes evolucionan constantemente para evadir los programas antivirus, pero estarías en una situación mucho peor sin ellos. El antivirus integrado en su sistema operativo es un excelente punto de partida, pero puede aumentar su protección con una herramienta como Malwarebytes.
- Enlaces No haga clic en ellos a menos que sepa a dónde van. Puede inspeccionar un enlace sospechoso utilizando las herramientas integradas de su navegador.
- Contraseña. Hazlo fuerte, hazlo único y nunca lo reutilices. Sin embargo, recordar todas esas contraseñas es difícil, nadie discutiría contra eso. Es por eso que debe consultar una herramienta de administración de contraseñas para ayudarlo a recordar y proteger mejor sus cuentas.
- Estafas. Hay muchas estafas en Internet. Si parece demasiado bueno para ser verdad, probablemente lo sea . Los delincuentes y los estafadores son expertos en crear sitios web elegantes con partes pulidas para atravesar una estafa sin darse cuenta. No crea todo lo que lee en línea.
Mantenerse seguro en línea no tiene por qué ser un trabajo de tiempo completo y no tiene que preocuparse cada vez que enciende su computadora. Tomar algunas medidas de seguridad aumentará drásticamente su seguridad en línea.