jueves, 29 de junio de 2017

Como se mide una vulnerabilidad en un sistema de información


Cada vez que hay un nuevo gusano informático o un ataque de ransomware se habla de vulnerabilidades críticas. ¿Pero quien mide la criticidad de una vulnerabilidad?

Las vulnerabilidades en sistemas de información son bastante comunes. Tanto que semanalmente el equipo de respuesta a incidentes informáticos del gobierno de Estados Unidos (www.us-cert.gov) publica una lista con las vulnerabilidades más importantes. Léase bien, no con todas las vulnerabilidades. La lista completa de vulnerabilidades públicas, o mejor dicho conocidas, está en la base nacional de datos de vulnerabilidades  o NVD (National Vulnerability Database). Esta base de datos es mantenida por NIST - National Institute of Standards and Technologies por sus siglas en inglés.

Las vulnerabilidades están clasificadas por orden de criticidad. Osea según el impacto en la confidencialidad, integridad o disponibilidad de un sistema de información.  En algunos casos extremos una vulnerabilidad puede afectar gravemente los tres elementos de la triada.

La medición del impacto de una vulnerabilidad usa un estándar conocido como CVSS (Common Vulnerability Scoring System) que utiliza varios indicadores para asignar el valor final. Por ejemplo, uno de los parámetros indica la severidad del vector de ataque. Si este vector permite una explotación remota entonces el valor será más alto que si la vulnerabilidad es solo local. Otros parámetros incluyen la facilidad de acceso, el tipo de autenticación y el impacto a la triada C-I-A.

La nota o grado asignado a cada vulnerabilidad es una composición de todos estos parámetros y el valor final va de cero a 10. Siendo 10 el valor asignado a una vulnerabilidad de altísima criticidad. Las fórmulas y los parámetros para el cálculo de la criticidad de una vulnerabilidad es material público y puede ser consultado en cualquier momento. Este sitio ofrece la calculadora de medición de vulnerabilidades.

El valor numérico final permite tener una medición común de fácil comunicación al público y como todo estándar, la medición debe ser reproducible.  

La base de datos nacional de vulnerabilidades (NVD) sigue usando la versión CVSS 2.0 a pesar de que es compatible con la versión CVSS 3.0. La calificación de impacto en CVSS 2.0 es como sigue:

- Bajo si la calificación CVSS está entre 0 .0 y 3.9
- Medio si la calificación CVSS está entre 4.0 y 6.9
- Alto si la calificación CVSS está entre 7.0 y 10.0