Menú principal

lunes, 19 de marzo de 2012

Criticidad de un Bug: Common Vulnerability Scoring System

Cada vez que aparece una actualización de un nuevo producto, como cuando Apple publica una nueva versión de uno de sus herramientas, todos los que trabajamos en seguridad informática vamos a comprobar los bugs arreglados y los que no. Cada bug recibe un código único en cada base de datos que es catalogado, aunque la más utilizada es la base de datos de expedientes de seguridad CVE (Common Vulnerabilities and Exposures).

Sin embargo, lo que queremos tratar hoy no es cómo se identifica el bug, sino qué mecanismos se utilizan para medir su importancia dentro de la seguridad de un sistema.

Common Vulnerability Scoring System v2

El mecanismo más popular que se usa para medir la criticidad de un bug se basa en el CVSS (Common Vulnerabilities Scoring System), que actualmente está en su versión 2. Este sistema de medición de la importación de un bug se basa en varios factores que tienen que ver con:

Métricas de explotabilidad
En este apartado se miden principalmente tres factores a tener en cuenta, como son  El vector de ataque, en el que se mide si el ataque es local, en red de area local o remotamente desde Internet. La complejidad del ataque, en el que se miden las circunstancias que tiene que darse para que crear un exploit consistente, es decir, si es complejo, medio o poco complejo hacer el explotar el bug.  El nivel de autenticación, donde se mide si es necesario contar o no con privilegios para la ejecución del exploit.
Métricas de Impacto
En este apartado se mide el impacto que tendría la explotación del bug en cuanto a la integridad, confidencialidad y disponibilidad del sistema, midiendo en cada una de ellas su valor de impacto.
Métricas de Entorno
En este caso se mide el impacto en una organización en concreto, utilizando modificadores generales, que miden el número de sistemas que se ven afectados por este bug y el porcentaje de daño que puede generar en ellos como modificadores de los factores de Integridad, Confidencialidad y Disponibilidad de este bug concreto en un entorno de empresa en particular.
Métricas Temporales
En ellas se mide el tiempo que tardará en aparecer un exploit para esta vulnerabilidad, el tiempo que tardará en aparecer un parche o solución para este bug, y el nivel de verificación de que esta vulnerabilidad efectivamente existe.
Calculadora CVSS 2

Para calcular el valor CVSS 2 de una determinada vulnerabilidad, se puede utilizar una calculadora, donde sólo se deben rellenar los valores conocidos para estos parámetros y se obtendrá un resultado. En nuestro ejemplo, el resultado ha sido un Highly Critical con un 4.5 sobre 5, en parte porque en la configuración se ha seleccionado la opción de que se ha comprobado la existencia de un exploit funcional.

Figura 1: Cálculo de criticidad de un bug ficticio

Cuando aparece un parche para un bug, la información sobre ese bug crece, lo que hace que el tiempo para sacar un exploit funcional se acorte. Es por eso la insistencia de todos los que trabajan en seguridad para aplicar las medidas de seguridad.

Éste no es el único sistema de medir el impacto de un bug, pero es uno de los más populares. En el futuro os traeremos algunos otros esquemas populares para medir la seguridad de una organización.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares