Cada año, las empresas de seguridad y tecnología publican detalles de miles de vulnerabilidades. Los medios informan debidamente sobre esas vulnerabilidades, destacando los problemas más peligrosos y asesorando a los usuarios sobre cómo mantenerse a salvo.

Pero, ¿y si le dijera que de esas miles de vulnerabilidades, pocas se explotan activamente en la naturaleza?

Entonces, ¿cuántas vulnerabilidades de seguridad existen y las empresas de seguridad deciden qué tan grave es una vulnerabilidad?

¿Cuántas vulnerabilidades de seguridad existen?

Seguridad de Kenna Priorización de la serie de informes de predicción descubrió que en 2019, las empresas de seguridad publicaron más de 18.000 CVE (vulnerabilidades y exposiciones comunes).

Si bien esa cifra suena alta, el informe también encontró que, de esas 18.000 vulnerabilidades, solo 473 "alcanzaron una explotación generalizada", que es alrededor del 6 por ciento del total. Aunque estas vulnerabilidades se estaban explotando en Internet, eso no significa que todos los hackers y atacantes del mundo las estuvieran utilizando.

instagram viewer

Además, "el código de explotación ya estaba disponible para> 50% de las vulnerabilidades cuando se publicaron en la lista CVE ". Que el código de explotación ya estuviera disponible suena alarmante a primera vista, y es una asunto. Sin embargo, también significa que los investigadores de seguridad ya están trabajando para solucionar el problema.

La práctica común es parchear las vulnerabilidades dentro de una ventana de publicación de 30 días. Eso no siempre sucede, pero es en lo que trabajan la mayoría de las empresas de tecnología.

El cuadro a continuación ilustra aún más la discrepancia entre el número de CVE reportados y el número realmente explotado.

Alrededor del 75 por ciento de los CVE son detectados por menos que 1 de cada 11.000 organizaciones, y solo el 5,9 por ciento de los CVE son detectados por 1 de cada 100 organizaciones. Esa es bastante la propagación.

Puede encontrar los datos y cifras anteriores en Priorización de la predicción Volumen 6: La división atacante-defensor.

¿Quién asigna los CVE?

Quizás se pregunte quién asigna y crea un CVE para empezar. No cualquiera puede asignar un CVE. Actualmente hay 153 organizaciones de 25 países autorizadas para asignar CVE.

Eso no significa que solo estas empresas y organizaciones sean responsables de la investigación de seguridad en todo el mundo. Lejos de eso, de hecho. Lo que significa es que estas 153 organizaciones (conocidas como Autoridades de numeración CVE, o CNA para abreviar) funcionan según un estándar acordado para la liberación de vulnerabilidades al dominio público.

Es una posición voluntaria. Las organizaciones participantes deben demostrar la "capacidad de controlar la divulgación de la vulnerabilidad información sin prepublicación ", así como para trabajar con otros investigadores que soliciten información sobre el vulnerabilidades.

Hay tres CNA raíz, que se encuentran en la parte superior de la jerarquía:

  • Corporación MITRE
  • Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) Sistemas de Control Industrial (ICS)
  • JPCERT / CC

Todas las demás CNA informan a una de estas tres autoridades de nivel superior. Los CNA informantes son predominantemente empresas de tecnología y desarrolladores y proveedores de hardware con reconocimiento de nombre, como Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, etc. La lista completa de CNA está disponible en el Sitio web de MITRE.

Informes de vulnerabilidad

Los informes de vulnerabilidad también se definen por el tipo de software y la plataforma en la que se encuentra la vulnerabilidad. También depende de quién lo encuentre inicialmente.

Por ejemplo, si un investigador de seguridad encuentra una vulnerabilidad en algún software propietario, es probable que lo informe directamente al proveedor. Alternativamente, si la vulnerabilidad se encuentra en un programa de código abierto, el investigador puede abrir un nuevo problema en la página de informes o problemas del proyecto.

Sin embargo, si una persona infame encontrara la vulnerabilidad primero, es posible que no se la revele al proveedor en cuestión. Cuando esto sucede, es posible que los investigadores y proveedores de seguridad no se den cuenta de la vulnerabilidad hasta que sea utilizado como exploit de día cero.

¿Cómo califican las empresas de seguridad los CVE?

Otra consideración es cómo las empresas de seguridad y tecnología califican a los CVE.

El investigador de seguridad no solo saca un número de la nada y lo asigna a una vulnerabilidad recién descubierta. Existe un marco de calificación que guía la calificación de vulnerabilidades: el Common Vulnerability Scoring System (CVSS).

La escala CVSS es la siguiente:

Gravedad Puntuación base
Ninguno 0
Bajo 0.1-3.9
Medio 4.0-6.9
Alto 7.0-8.9
Crítico 9.0-10.0

Para determinar el valor CVSS de una vulnerabilidad, los investigadores analizan una serie de variables que abarcan las métricas de puntuación base, las métricas de puntuación temporal y las métricas de puntuación ambiental.

  • Métricas de puntuación base cubre aspectos como cuán explotable es la vulnerabilidad, la complejidad del ataque, los privilegios requeridos y el alcance de la vulnerabilidad.
  • Métricas de puntuación temporal cubrir aspectos tales como la madurez del código de explotación, si existe una reparación para la explotación y la confianza en la notificación de la vulnerabilidad.
  • Métricas de puntuación medioambiental se ocupan de varias áreas:
    • Métricas de explotabilidad: Cubre el vector de ataque, la complejidad del ataque, los privilegios, los requisitos de interacción del usuario y el alcance.
    • Métricas de impacto: Cubriendo el impacto en la confidencialidad, integridad y disponibilidad.
    • Subpuntuación de impacto: Agrega una definición más detallada a las métricas de impacto, que cubre los requisitos de confidencialidad, los requisitos de integridad y los requisitos de disponibilidad.

Ahora, si todo eso suena un poco confuso, considere dos cosas. Primero, esta es la tercera iteración de la escala CVSS. Inicialmente comenzó con el puntaje base antes de agregar las métricas posteriores durante revisiones posteriores. La versión actual es CVSS 3.1.

En segundo lugar, para comprender mejor cómo CVSS denomina puntuaciones, puede utilizar la Calculadora CVSS de la base de datos nacional de vulnerabilidades para ver cómo interactúan las métricas de vulnerabilidad.

No hay duda de que calificar una vulnerabilidad "a ojo" sería extremadamente difícil, por lo que una calculadora como esta ayuda a obtener una puntuación precisa.

Mantenerse seguro en línea

Aunque el informe de seguridad de Kenna ilustra que solo una pequeña proporción de las vulnerabilidades notificadas se convierte en una amenaza grave, una probabilidad de explotación del 6 por ciento sigue siendo alta. Imagínese si su silla favorita tuviera una probabilidad de 6 en 100 de romperse cada vez que se sentara. Lo reemplazarías, ¿verdad?

No tiene las mismas opciones con Internet; es insustituible. Sin embargo, al igual que su silla favorita, puede repararla y asegurarla antes de que se convierta en un problema aún mayor. Hay cinco cosas importantes que debe hacer para decir que está seguro en línea y evitar el malware y otras vulnerabilidades:

  1. Actualizar. Mantenga su sistema actualizado. Las actualizaciones son la principal forma en que las empresas de tecnología mantienen su computadora segura, corrigiendo vulnerabilidades y otras fallas.
  2. Antivirus. Puede leer cosas en línea como "ya no necesita un antivirus" o "el antivirus es inútil". Por supuesto, Los atacantes evolucionan constantemente para evadir los programas antivirus, pero estarías en una situación mucho peor sin ellos. El antivirus integrado en su sistema operativo es un excelente punto de partida, pero puede aumentar su protección con una herramienta como Malwarebytes.
  3. Enlaces. No haga clic en ellos a menos que sepa a dónde van. Usted puede inspeccionar un enlace sospechoso utilizando las herramientas integradas de su navegador.
  4. Contraseña. Hágalo fuerte, hágalo único y nunca lo reutilice. Sin embargo, recordar todas esas contraseñas es difícil, nadie discutiría en contra de eso. Es por eso que deberías echa un vistazo a un administrador de contraseñas herramienta para ayudarlo a recordar y proteger mejor sus cuentas.
  5. Estafas. Hay muchas estafas en Internet. Si parece demasiado bueno para ser verdad probablemente lo sea. Los delincuentes y estafadores son expertos en crear sitios web elegantes con partes pulidas para atravesar una estafa sin darse cuenta. No crea todo lo que lee en línea.

Mantenerse seguro en línea no tiene por qué ser un trabajo de tiempo completo y no tiene que preocuparse cada vez que enciende su computadora. Tomar algunas medidas de seguridad aumentará drásticamente su seguridad en línea.

Correo electrónico
¿Cuál es el principio de privilegio mínimo y cómo puede prevenir los ciberataques?

¿Cuánto acceso es demasiado? Conozca el principio de privilegio mínimo y cómo puede ayudar a evitar ciberataques imprevistos.

Temas relacionados
  • Tecnología explicada
  • Seguridad
  • Estafas
  • Seguridad en línea
  • Antivirus
  • Software malicioso
  • Puerta trasera
Sobre el Autor
Gavin Phillips (742 Artículos publicados)

Gavin es el editor junior de Windows and Technology Explained, un colaborador habitual del Really Useful Podcast, y fue el editor del sitio hermano de MakeUseOf centrado en cripto, Blocks Decoded. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.

Más de Gavin Phillips

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Un paso más…!

Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.

.