Usar la política de criticidad para destacar vulnerabilidades prioritarias

Un activo puede tener una política de criticidad. Este elemento se basa en los requisitos de seguridad según las metricas ambientales del estándar CVSS:

• Metricas ambientales del CVSSv4
• Metricas ambientales del CVSSv3
• Metricas ambientales del CVSSv2

La política de criticidad se define por varios criterios: Confidencialidad, Integridad y Disponibilidad, así como por un umbral CVSS (de 0 a 10), un umbral EPSS (de 0 a 100), y la consideracion de la presencia de vulnerabilidades en diversos catálogos de referencia (como CERT-FR ALE, CISA KEV y otros reconocidos por Cyberwatch).

Cada criterio tiene tres valores posibles: Bajo, Medio o Alto.

Estas metricas permiten a un analista definir requisitos de seguridad según la importancia del activo informatico para la organización.

Por ejemplo, si un activo informatico esta vinculado a una función de negocio para la cual la Disponibilidad es muy importante, el analista puede asignar un valor Alto a la Disponibilidad, manteniendo valores Medios para Confidencialidad e Integridad.

Las vulnerabilidades prioritarias se calculan a partir de:

• la presencia de vulnerabilidades en al menos un catalogo
• la puntuacion EPSS de las vulnerabilidades
• la puntuacion CVSS de las vulnerabilidades
• la decision SSVC de las vulnerabilidades
• la política de criticidad configurada en un activo

El tipo de puntuacion CVSS usado para la priorizacion de vulnerabilidades depende de las metricas activadas en la política de criticidad. Las metricas base (B) permiten calcular el puntaje CVSS inicial. Las metricas de amenaza (T) y las metricas de entorno (E) permiten considerar respectivamente:

• el estado actual de las técnicas de explotacion o la disponibilidad del código de una vulnerabilidad
• los requisitos de cada activo en materia de Disponibilidad, Integridad y Confidencialidad

Esto permite elegir entre cuatro tipos: CVSS-B, CVSS-BE, CVSS-BT y CVSS-BTE. La puntuacion CVSS se ajusta entonces usando la formula del estándar CVSS.

Si la puntuacion obtenida supera el umbral de criticidad del activo, la vulnerabilidad se marca como prioritaria. La presencia de una vulnerabilidad en uno de los catálogos la marca como prioritaria.

Cyberwatch define tres políticas de criticidad por defecto:

• Baja con:
  • presencia en al menos un catalogo
• Media con:
  • los criterios Confidencialidad, Integridad y Disponibilidad con valor Medio
  • un umbral CVSS en 7.0
  • un umbral EPSS en 2%

  o

  • presencia en al menos un catalogo
• Alta con:
  • los criterios Confidencialidad, Integridad y Disponibilidad con valor Alto
  • un umbral CVSS en 7.0
  • un umbral EPSS en 0.5%

  o

  • presencia en al menos un catalogo

CVSS techos

Para considerar mejor el entorno de un activo, es posible limitar las metricas CVSS base durante el calculo del puntaje contextualizado de las CVE.

Por ejemplo, si un activo esta desconectado de toda red, especificar Local como vector de ataque de los techos CVSS reducira la puntuacion de las CVE explotables desde la red, considerando que su vector de ataque es Local en lugar de Red.

Para editar los techos CVSS, haga clic en el botón Techo de los vectores CVSS en la pagina de edición de las criticidades. Por defecto, se define con los valores maximos de las metricas, de modo que no tenga impacto en el puntaje contextualizado.

Decision SSVC

Stakeholder-Specific Vulnerability Categorization (SSVC) es un sistema de decision para determinar la urgencia con la que tratar una CVE. Para mas información, consulte la documentación oficial en el sitio del CISA: https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc.

Para calcular las decisiones SSVC de las CVE de un activo, la sección Metricas SSVC de la política de criticidad del activo debe completarse. Ademas, las metricas SSVC solo están presentes en las CVE tratadas por el CISA, es decir, alrededor de 21 000 en 2024.

Es posible añadir un criterio de priorizacion sobre la decision SSVC para excluir las CVE cuya decision SSVC sea demasiado baja. Este criterio no afectara a las CVE sin metricas SSVC.

Las decisiones SSVC de las CVE se pueden mostrar desde la pestaña Vulnerabilidades de la pagina de detalles de los activos personalizando las columnas de la tabla. También se incluyen en los exports CSV y Kibana.

Tiempo de respuesta a vulnerabilidades

Es posible definir un objetivo de tiempo de respuesta para los activos basado en su criticidad. Este plazo corresponde al umbral maximo permitido entre la deteccion y la correccion de una vulnerabilidad. Este indicador permite identificar rapidamente las vulnerabilidades no corregidas en el tiempo asignado y comparar los tiempos medios de remediacion con los objetivos definidos.

En las pestanas “Vulnerabilidades” y “Gestión de parches”, toda vulnerabilidad cuya duracion de presencia supere el objetivo recibe un badge rojo que indica el numero de días de exceso. Este badge también es visible en la pagina detallada de una CVE, aplicado a los activos afectados.

Para ilustrar la velocidad de remediacion, se muestran dos series de medidores semicirculares en la pestaña “Resumen” de cada activo. Una primera serie de medidores ilustra el tiempo medio de remediacion de vulnerabilidades, es decir, el plazo entre su deteccion y su correccion, para verificar si se respetan los objetivos. Una segunda serie destaca el tiempo medio de presencia de vulnerabilidades, que refleja la duracion de exposicion real antes de la correccion. En ambas series, los medidores distinguen las vulnerabilidades prioritarias de las vulnerabilidades catalogadas.

Crear una criticidad

1. Hacer clic en Ajustes > Criticidades
2. Hacer clic en el botón “Crear”
3. Completar el formulario
4. Hacer clic en el botón “Guardar”

Editar una criticidad

1. Hacer clic en Ajustes > Criticidades
2. Hacer clic en el icono de edición (las criticidades por defecto no son modificables)
3. Completar el formulario
4. Hacer clic en el botón “Guardar”

Eliminar una criticidad

1. Hacer clic en Ajustes > Criticidades
2. Hacer clic en el icono de eliminación (las criticidades por defecto no pueden eliminarse)

Asignar una criticidad a un activo

1. Hacer clic en Inventario
2. Marcar la linea de los activos a los que se asignara la criticidad
3. Hacer clic en “Edición en grupo”
4. Hacer clic en “Modificar la criticidad” en la lista desplegable
5. Hacer clic en la criticidad deseada