← Volver al inicio

Priorización y CVSS: El Triage en Urgencias

Objetivo del Módulo

Aprender que en el mundo corporativo no existe el tiempo ni el dinero para arreglar todos los errores de seguridad. Tu trabajo no es arreglar todo; tu trabajo es decidir qué dejar sangrar y qué meter inmediatamente al quirófano.

El escáner de red (Nessus) terminó su trabajo y te entregó un reporte en PDF de 5,000 páginas diciendo que tienes 14,500 vulnerabilidades. Si le envías ese PDF de 5,000 páginas al equipo de administradores de sistemas, te van a odiar, lo van a tirar a la basura, y no van a arreglar nada. Necesitas hacer Triage.

1. La Analogía: La Sala de Emergencias (Triage)

Imagínate que eres el jefe de enfermeros en la Sala de Emergencias de un hospital militar durante una guerra. Acaban de llegar 14,500 pacientes al mismo tiempo. Solo tienes 10 doctores (Programadores).

  • Sin Triage: Los doctores empiezan a atender alfabéticamente a los pacientes. Pasan 5 horas curando las rodillas raspadas de 100 soldados, mientras que los pacientes con heridas de bala en el pecho se mueren en la sala de espera.
  • Con Triage: Tú te pones en la puerta. Tomas decisiones rápidas, brutales y matemáticas. Le pones una etiqueta verde al de la rodilla raspada (Vete a casa, no es urgente) y una etiqueta roja al de la bala en el pecho (Directo a quirófano).

En Ciberseguridad, esa etiqueta médica de colores se llama CVSS (Common Vulnerability Scoring System).

2. Recordando el CVSS (La Calculadora del Miedo)

Como vimos en el módulo de Red Team (El Reporte), el CVSS es un estándar numérico mundial del 0.0 al 10.0.

  • Crítico (9.0 - 10.0): (Etiqueta Roja). El atacante no necesita contraseña para ejecutar el ataque (Unauthenticated), el ataque se hace desde internet (Network), y le da control total sobre la máquina (Remote Code Execution - RCE).
  • Alto (7.0 - 8.9): (Etiqueta Naranja).
  • Medio (4.0 - 6.9): (Etiqueta Amarilla). El atacante necesita estar físicamente en la oficina, o necesita tener ya una cuenta de usuario normal para poder hacer el ataque.
  • Bajo (0.1 - 3.9): (Etiqueta Verde). "La página web revela que usa la versión 1.2 de JQuery".

La Trampa del Escáner

El error número uno de un Analista de Vulnerabilidades novato es abrir la consola de Nessus, ordenar la lista por "Críticos" y mandarle un correo de pánico al Administrador de Sistemas.

El CVSS Base es ciego. El escáner Nessus te dirá que la computadora de la Recepcionista tiene un error CVSS 9.8 (Crítico). Matemáticamente es cierto, el error es grave. Pero al negocio no le importa.

3. El Contexto de Negocio (Business Context)

Un buen Analista de Vulnerabilidades altera mentalmente la puntuación del CVSS basándose en la geografía y el valor de la víctima.

Escenario A (CVSS 9.8 en el Sótano): Nessus marca un error "Crítico 9.8" en el servidor de pruebas de los desarrolladores. El Contexto: Ese servidor de pruebas no tiene datos de clientes, y lo más importante, no tiene salida a internet. Un hacker en Rusia jamás podría llegar físicamente a esa computadora porque el Firewall interno lo bloquea.

  • Prioridad Real: Baja. "Arréglalo cuando tengas tiempo".

Escenario B (CVSS 6.5 en la Corona): Nessus marca un error "Medio 6.5" en el servidor principal de transferencias del Banco. El error permite robar dinero si el hacker logra engañar a un empleado. El Contexto: Ese servidor está conectado a internet público y guarda millones de dólares en tarjetas de crédito.

  • Prioridad Real: Crítica Inmediata. "Levanten a los programadores, arréglenlo hoy".

La Regla de Oro: Vulnerabilidad Matemática (CVSS) + Riesgo de Negocio (Contexto) = Prioridad Real.

4. Criterio de Dominio (Autoevaluación)

Revisa si podrías dirigir la sala de emergencias:

  1. ¿Por qué enviar un reporte crudo de 5,000 páginas de Nessus directamente al equipo de Servidores (IT Operations) se considera una falta de respeto profesional y una falla en el proceso de Gestión de Vulnerabilidades?
  2. Dos servidores tienen exactamente el mismo fallo técnico con una puntuación matemática (CVSS Base) de 9.8. El Servidor A maneja el aire acondicionado del edificio (y no tiene internet). El Servidor B maneja la pasarela de pagos de la página web pública. ¿Por qué las prioridades de "parcheo" son completamente opuestas?
  3. Un atacante necesita primero tener una cuenta válida en tu sistema (Usuario/Contraseña) para poder ejecutar un fallo que destruye la base de datos. En la métrica de CVSS, este ataque requiere privilegios ("Privileges Required: High"). ¿Por qué esto baja la puntuación de la vulnerabilidad comparado con un ataque que no requiere contraseña?
  4. El proceso de Triage es mentalmente duro. Tienes un tiempo limitado de tus ingenieros para arreglar fallos este mes. Tienes 50 vulnerabilidades "Bajas" (Verdes) y 1 vulnerabilidad "Alta" (Naranja). ¿A cuál le asignas los recursos y por qué?
← Anterior

Fundamentos de Vulnerability Management: El Dentista

Siguiente →

Fundamentos de GRC: El Inspector del Casino

En esta página