Explicación de la puntuación de vulnerabilidades en Cyberwatch

En Cyberwatch, las vulnerabilidades reciben una puntuación que permite definir su severidad. En Cyberwatch se asocian varias puntuaciones a las vulnerabilidades:

  • la puntuación CVSS V4
  • la puntuación CVSS V3
  • la puntuación CVSS V2
  • la puntuación personalizada

La puntuación utilizada y mostrada por defecto en Cyberwatch es la CVSS V4, salvo que esté ausente, en cuyo caso se trata de la CVSS V3.

Es posible elegir la puntuación que se mostrará y utilizará en la sección Administración > Vulnerabilidades.

Puntuaciones CVSS

La puntuación CVSS (Common Vulnerability Scoring System) es un sistema de evaluación internacional que permite evaluar la criticidad de las vulnerabilidades según criterios objetivos y medibles.

La evaluación se compone de tres métricas:

  • la puntuación Base: representa las características intrínsecas y fundamentales de una vulnerabilidad, independientemente del contexto temporal y ambiental
  • la puntuación Temporal: representa las características temporales de una vulnerabilidad que pueden evolucionar con el tiempo (disponibilidad de parches, presencia de exploits…)
  • la puntuación Ambiental: representa las características de una vulnerabilidad en función del entorno (tipo de activo o usuario afectado, por ejemplo) y de las consecuencias que podrían resultar de la explotación de esta vulnerabilidad

Cada una de estas métricas está compuesta por varios criterios que afectan al cálculo de la puntuación CVSS. En ausencia de datos que permitan definir los criterios de la puntuación temporal y/o de la puntuación ambiental, estos criterios se consideran “No definido”. Un criterio “No definido” afecta a la puntuación CVSS de la misma manera que si el criterio se hubiera definido al nivel más alto.

El sitio de FIRST proporciona el calculador oficial de la puntuación CVSS V3.1 utilizado por el NVD para definir la puntuación de las vulnerabilidades publicadas.

CVSS V2

CVSS V2 representa la versión 2 de la puntuación CVSS. Era anteriormente la puntuación oficial de referencia utilizada mundialmente.

CVSS V3

CVSS V3 representa la versión 3 de la puntuación CVSS. Es la puntuación oficial de referencia actualmente reconocida y utilizada a nivel mundial.

Se convirtió en referencia en lugar de CVSS V2 en diciembre de 2015. Esta nueva versión de la puntuación CVSS aporta varios cambios en el sistema de puntuación, que permiten asignar una puntuación más precisa a las vulnerabilidades del ámbito de las aplicaciones web.

CVSS V4

CVSS V4 representa la versión 4 de la puntuación CVSS.

Esta nueva versión ofrece una fidelidad mejorada en la evaluación de vulnerabilidades, en particular una distribución más granular de las métricas base para ofrecer una comprensión y una evaluación matizadas de las vulnerabilidades. Además, CVSS v4 introdujo una nueva nomenclatura para designar las combinaciones de métricas base, de amenaza y de entorno, así como nuevos valores de métricas base para la interacción del usuario, que se clasifican como pasivas o activas.

Nivel/Madurez de los exploits

La facilidad de uso y el nivel de pruebas de los exploits generalmente dependen de las fuentes que los enumeran. Este término se llama Nivel de exploit o Madurez del exploit en Cyberwatch.

Así, en Cyberwatch:

  • si no se detecta ningún exploit, el nivel de exploit se definirá como No disponible
  • si un solo exploit es reportado por el NVD y/o se detecta al menos un exploit en GitHub, el nivel de exploit se definirá como Demostración
  • si se reportan varios exploits por el NVD y/o al menos un exploit está presente en SecurityFocus o Exploit-DB, el nivel de exploit se definirá como Funcional
  • si al menos un exploit está presente en Metasploit, el nivel de exploit se definirá como Alto

La madurez del exploit definida por Cyberwatch se utiliza para modificar el valor del campo “Exploit Code Maturity” de la puntuación CVSS V3 en lugar del valor “No definido” en este caso.

Este valor puede redefinirse en el menú de edición de una CVE.

Puntuación personalizada

La puntuación personalizada ofrece a los usuarios la posibilidad de redefinir las métricas base de la puntuación CVSS. Es posible redefinir los ocho criterios siguientes:

  • Vector de Acceso
  • Complejidad de Ataque
  • Privilegios Requeridos
  • Interacción del Usuario
  • Alcance
  • Confidencialidad
  • Integridad
  • Disponibilidad

La modificación de cada uno de estos criterios tendrá como consecuencia la actualización de la puntuación para mantenerse conforme a las fórmulas de cálculo de la puntuación CVSS V3 proporcionadas por FIRST. El valor de la puntuación también es modificable sin interacción con estos criterios.

Volver arriba

English Français Español