Priorizacion, CVE y CVSS
Objetivo
Entender indicadores comunes de vulnerabilidades y por que no se debe depender solo de un numero.
CVE
CVE es un identificador publico para vulnerabilidades conocidas.
Ejemplo conceptual:
CVE-YYYY-NNNN
Sirve para:
- Referenciar una vulnerabilidad.
- Buscar informacion.
- Relacionar parches.
- Comunicar riesgo.
CVSS
CVSS es un sistema de puntuacion de severidad.
Ejemplo:
9.8 Critical
CVSS ayuda, pero no decide todo.
Por Que CVSS No Basta
Una vulnerabilidad critica en un sistema aislado puede ser menos urgente que una alta explotada activamente en internet.
Factores extra:
- Activo expuesto a internet.
- Exploit publico.
- Explotacion activa.
- Datos sensibles.
- Controles compensatorios.
- Importancia del sistema.
EPSS
EPSS estima probabilidad de explotacion. Es util para priorizar, pero tambien requiere contexto.
Matriz Simple de Priorizacion
| Factor | Pregunta |
|---|---|
| Severidad | Que tan grave es tecnicamente? |
| Exposicion | Esta en internet? |
| Activo | Que tan importante es? |
| Exploit | Hay exploit conocido? |
| Datos | Maneja datos sensibles? |
| Controles | Hay mitigaciones existentes? |
Ejemplo
Hallazgo A:
- CVSS 9.8.
- Sistema interno de laboratorio.
- Sin datos reales.
Hallazgo B:
- CVSS 8.1.
- Sistema publico.
- Exploit activo.
- Datos de clientes.
Prioridad:
- B probablemente va primero por contexto.
Practica
Prioriza:
1. Servidor web publico con dependencia vulnerable alta. 2. Servidor interno critico con parche faltante medio. 3. Laptop de usuario con software viejo bajo. 4. Bucket publico con datos sensibles.
Explica:
- Orden.
- Razon.
- Remediacion.
- Validacion.
Criterio de Dominio
Puedes avanzar cuando puedas:
- Explicar CVE.
- Explicar CVSS.
- Explicar por que contexto importa.
- Crear una priorizacion defendible.