Llegamos a ustedes gracias a:



Reportajes y análisis

Qué es el EPSS y cómo se compara con el CVSS

[25/11/2022] El Sistema Común de Exploración de Vulnerabilidades (CVSS, por sus siglas en inglés) es el sistema de calificación más citado para evaluar la gravedad de las vulnerabilidades de seguridad. Sin embargo, ha sido criticado por no ser apropiado para evaluar y priorizar el riesgo de esas vulnerabilidades. Por esta razón, algunos han pedido que se utilice el Exploit Prediction Scoring System (EPSS) o que se combinen el CVSS y el EPSS para que las métricas de vulnerabilidad sean más procesables y eficientes. Al igual que el CVSS, el EPSS se rige por el Forum of Incident Response and Security Teams (FIRST).

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Definición del EPSS

El EPSS se enorgullece de ser un esfuerzo abierto y basado en datos que pretende estimar la probabilidad de que una vulnerabilidad de software sea explotada en la naturaleza. El CVSS se centra en las características innatas de las vulnerabilidades que culminan en una puntuación de gravedad. La puntuación de gravedad por sí sola no indica la probabilidad de explotación, que es una información crítica para los profesionales de la gestión de vulnerabilidades que necesitan priorizar sus esfuerzos de corrección y mitigación de vulnerabilidades para maximizar su impacto en la reducción del riesgo de la organización.

El EPSS cuenta con un grupo de interés especial (SIG, por sus siglas en inglés) abierto al público para aquellos interesados en participar en el esfuerzo. El EPSS está impulsado por voluntarios y dirigido por investigadores, profesionales de la seguridad, académicos y personal gubernamental. FIRST puede y tiene los derechos para actualizar el modelo y la guía asociada como la organización considere oportuno, a pesar de este enfoque impulsado por la colaboración de la industria. El grupo cuenta con presidentes y creadores de organizaciones como RAND, Cyentia, Virginia Tech y Kenna Security, entre muchos miembros de diversas organizaciones. El EPSS tiene varios documentos relacionados que profundizan en temas asociados como la predicción de ataques, el modelado y la divulgación de vulnerabilidades y la explotación de software.

El modelo del EPSS

El EPSS pretende ayudar a los profesionales de la seguridad y a sus organizaciones a mejorar los esfuerzos de priorización de vulnerabilidades. Hay un número exponencialmente creciente de vulnerabilidades en el panorama digital actual, y ese número está aumentando debido a factores como la creciente digitalización de los sistemas y la sociedad, el mayor escrutinio de los productos digitales y la mejora de las capacidades de investigación y notificación.

Por lo general, las organizaciones solo pueden solucionar entre el 5% y el 20% de las vulnerabilidades cada mes, afirma el EPSS. Menos del 10% de las vulnerabilidades publicadas se explotan en la naturaleza. También entran en juego problemas de mano de obra de larga duración, como el estudio anual ISC2 Cybersecurity Workforce Study, que muestra una escasez de más de dos millones de profesionales de la ciberseguridad en todo el mundo. Estos factores justifican que las organizaciones dispongan de un enfoque coherente y eficaz que les ayude a priorizar las vulnerabilidades que suponen un mayor riesgo para su organización, con el fin de evitar la pérdida de recursos y tiempo limitados.

El modelo del EPSS pretende proporcionar cierta ayuda produciendo puntuaciones de probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, y las puntuaciones oscilan entre 0 y 1 o entre 0% y 100%. Para proporcionar estas puntuaciones y proyecciones, el EPSS utiliza datos de fuentes como la lista de CVE de MITRE, datos sobre CVE como los días transcurridos desde su publicación, y observaciones de la actividad de explotación de proveedores de seguridad como AlienVault y Fortinet.

El equipo del EPSS publicó datos que respaldan su enfoque de utilizar las puntuaciones del CVSS con los datos de puntuación del EPSS para llevar a cabo esfuerzos de corrección de vulnerabilidades más eficaces. Por ejemplo, muchas organizaciones ordenan que las vulnerabilidades con una puntuación CVSS específica o superior deben ser remediadas, como un 7 o más. Sin embargo, esto prioriza la corrección de la vulnerabilidad basándose únicamente en la puntuación CVSS; y no, en si se sabe que la vulnerabilidad ha sido explotada o no. Acoplar el EPSS con el CVSS es más eficaz porque prioriza las vulnerabilidades basándose tanto en su calificación de gravedad como en si se sabe que son explotadas activamente. Esto permite a las organizaciones abordar las CVE que suponen el mayor riesgo para la organización.

El EPSS se centra en dos métricas principales: la eficiencia y la cobertura. La eficiencia examina el grado de utilización de los recursos por parte de las organizaciones para resolver el porcentaje de vulnerabilidades remediadas. El EPSS señala que es más eficiente que la mayor parte de los recursos de una organización se destinen a remediar sobre todo las vulnerabilidades explotadas conocidas, frente a las vulnerabilidades aleatorias basadas únicamente en las puntuaciones de gravedad a través del CVSS. La cobertura es una mirada al porcentaje de vulnerabilidades explotadas que fueron remediadas.

Para demostrar la eficacia de su enfoque propuesto, el EPSS realizó un estudio en el 2021 en el que se evaluaron las puntuaciones básicas de CVSS v3 y los datos de EPSS v1 y EPSS v2 durante un período de 30 días para determinar el número total de CVE, el número de CVE corregidos y el número de CVE explotados.

En primer lugar, el estudio demostró que la mayoría de los CVE no son remediados. En segundo lugar, el número de CVE explotados que se reparan es solo un subconjunto del total de CVE reparados. Esto significa que las organizaciones no remedian la mayoría de los CVE, y entre los que lo hacen, muchos no son conocidos activamente por ser explotados y potencialmente no representan el mayor riesgo.

El estudio también demuestra que el EPSS v2 mejora aún más la eficiencia de los esfuerzos de corrección de vulnerabilidades, al maximizar el porcentaje de vulnerabilidades explotadas que se corrigen. Cuando las organizaciones tienen problemas de recursos con los profesionales de la ciberseguridad, es crucial maximizar el rendimiento de su inversión haciendo que los recursos se centren en las vulnerabilidades que suponen el mayor riesgo para la organización. En definitiva, el EPSS trata de ayudar a las organizaciones a hacer un uso más eficiente de sus limitados recursos y a mejorar su eficacia para reducir el riesgo de la organización.

Deficiencias del EPSS

Al igual que el CVSS, el EPSS tiene sus críticos en la industria y el mundo académico. Un artículo titulado Probably Don't Rely on EPSS Yet (Probablemente no confíe en el EPSS todavía) proviene del blog del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon. El SEI publicó originalmente un documento titulado Towards Improving CVSS (Hacia la mejora del CVSS), en el que se exponían algunas críticas agudas al CVSS, del que se originó el EPSS poco después de su publicación.

Las principales críticas formuladas en el artículo incluyen la opacidad del EPSS, así como problemas con sus datos y resultados. El artículo habla de que no está claro cómo el EPSS dicta los procesos de desarrollo, la gobernanza o su público objetivo. El EPSS se basa en identificadores CVE preexistentes, lo que significa que no sería útil para entidades como los proveedores de software, los equipos de respuesta a incidentes o los grupos de recompensas por errores, ya que muchas de las vulnerabilidades de las que se ocupan estos grupos no tienen todavía identificadores CVE y puede que nunca los reciban. El EPSS no sería útil cuando se trata de vulnerabilidades de día cero, dado que adquieren visibilidad cuando la explotación está en marcha y no tienen ID de CVE.

El autor del blog también plantea su preocupación por la apertura y la transparencia del EPSS. Aunque el EPSS se autodenomina un esfuerzo abierto y basado en datos y tiene un SIG público, tanto él como FIRST se reservan el derecho de cambiar el sitio y el modelo en cualquier momento sin dar explicaciones. Ni siquiera los miembros del SIG tienen acceso al código o a los datos que utiliza el modelo subyacente del EPSS. El propio SIG no supervisa ni gobierna el modelo, y el proceso por el que se actualiza o modifica el modelo no es transparente para el público, y mucho menos para los miembros del SIG. El artículo señala que el modelo y los datos del EPSS también podrían retirarse del dominio público, dado que está gobernado y gestionado por FIRST.

El artículo señala que el EPSS se centra en la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, pero esto requiere que existan algunas cosas fundamentales para que se pueda proyectar. Entre ellas, un ID de CVE existente en el NVD con un valor de vector CVSS v3 asociado, una firma IDS vinculada a un intento de explotación activo del ID de CVE, la contribución de AlienVault o Fortinet, y el propio modelo vinculado a los próximos 30 días.

Como señaló el autor, solo el 10% de las vulnerabilidades con CVE IDs tienen firmas IDS adjuntas, lo que significa que el 90% de las vulnerabilidades con CVE IDs pueden pasar desapercibidas para su explotación. Esto también crea una dependencia de Fortinet y AlienVault con respecto a los sensores IDS y los datos asociados. Esto podría mitigarse en cierta medida con una mayor participación de la comunidad de proveedores de seguridad en general. Aunque los datos de Fortinet y AlienVault son útiles, no representan todo el panorama de amenazas ni las perspectivas de los demás proveedores de seguridad importantes que podrían contribuir a la probabilidad de explotación de vulnerabilidades.

Aunque se trata de críticas válidas, el uso del EPSS ofrece a las organizaciones la oportunidad de aprovechar al máximo sus escasos recursos de seguridad para reducir el riesgo de la organización. Centrarse en las vulnerabilidades con mayor probabilidad de explotación permite a las organizaciones realizar inversiones que tienen la mayor probabilidad de mitigar a los actores maliciosos y minimizar la fricción en los equipos de desarrollo.

Puede ver también: