Gestión de Vulnerabilidades: enfoque “Threat-Informed” para la priorización y mitigación

Se identifican más de 25.000 vulnerabilidades al año, y cada año este número se incrementa. Por ello, no es de extrañar que la gestión de vulnerabilidades sea un proceso clave que toda organización trata de realizar de la manera más eficiente posible con el objetivo último de establecer un nivel de protección sobre los sistemas y activos que conforman su infraestructura IT/OT. Este proceso, que consiste en identificar, analizar, clasificar y remediar las debilidades que pueden ser explotadas por los atacantes, tiene un problema, que no es otro que el relacionado con el gran número de vulnerabilidades que aparecen día tras día, lo cual hace que su gestión sea compleja y como resultado tengamos sistemas sobre los que no se puedan parchear todas y cada una de las vulnerabilidades identificadas. De todo lo anterior se extrae la necesidad de la “priorización” como estrategia principal a adoptar que ayude a que la actividad de ciberdefensa resulte más eficiente y eficaz.

CVSS y EPSS, métricas para la calificación y priorización

Cuando se trata de realizar una gestión y priorización de vulnerabilidades, que lo que pretende es hacer frente al abrumador número de vulnerabilidades presentes en una organización, es habitual emplear métricas como CVSS (Common Vulnerability Scoring System) y EPSS (Exploit Prediction Scoring System), ambos definidos por el FIRST (Forum of Incident Response and Security Teams). En el caso del CVSS, es un “framework” abierto y universalmente utilizado que establece unas métricas para la comunicación de las características, impacto y severidad de vulnerabilidades que afectan a elementos del entorno de seguridad IT. Con el EPSS lo que se trata es poder estimar la probabilidad de que una vulnerabilidad de software sea explotada para lo cual utiliza información actual sobre amenazas procedente de CVE (Common Vulnerability Exposure) y datos de exploits existentes. Gracias a la combinación de ambos parámetros es posible optimizar la gestión y priorización de vulnerabilidades consiguiendo valores más manejables en cuanto número y fiabilidad de las mismas.

CVSS (Common Vulnerability Scoring System)

Su propósito es capturar las principales características de una vulnerabilidad y producir una puntuación que represente la gravedad potencial del daño a una organización, en caso de que sea explotada.

Una puntuación CVSS consta de tres métricas:

1. Puntuación base o básicas, que representa las características estáticas de una vulnerabilidad, agrupadas por aquellos parámetros que están relacionados por un lado con el nivel de explotabilidad, y por otro con el impacto.
2. Aspecto temporal, que incluye factores dependientes del tiempo, como el estado de explotación y la disponibilidad de parches.
3. Componente ambiental, que refleja las propiedades de la red específicas de la organización.

Componentes de una puntuación CVSS.

Dentro de las tres métricas que maneja CVSS, las de tipo “puntuación base” se han convertido en el componente más utilizado. Esto ha llevado a la idea errónea de que las “puntuaciones base” abarcan toda la evaluación de riesgos, a pesar de que este tipo de métricas sólo abordan algunos aspectos del riesgo, como la explotabilidad de una vulnerabilidad y su gravedad o impacto.

De esta manera, si adoptásemos una estrategia en la que sólo se tuvieses en cuenta las “puntuaciones base” CVSS como guía para saber qué vulnerabilidades hay que abordar, nos encontraríamos ante un escenario en el que el número de vulnerabilidades “críticas” fuese realmente alto. Por ejemplo, de las 2213 vulnerabilidades publicadas en el último mes, 1167, es decir, algo más de la mitad recibieron una calificación de 7 o superior sobre 9. Esto nos plantea la siguiente pregunta: ¿Cómo podemos gestionar tantas vulnerabilidades críticas?

EPSS, métrica de predicción

Como ya adelantábamos, cuando los equipos de defensa priorizan las vulnerabilidades empleando únicamente la “puntuación base” de CVSS, pueden descuidar otros factores significativos, ya que este es un parámetro que resulte infalible de cara a realizar una predicción sobre las amenazas reales. Es necesario por lo tanto tener en cuenta otros factores a la hora de determinar qué vulnerabilidades son más urgentes, como la probabilidad de que una amenaza sea explotad.

Es por ello que desde el FIRST desarrollaron EPSS (Exploit Prediction Scoring System), un marco de puntuación de vulnerabilidades diseñado específicamente para estimar la probabilidad de que una vulnerabilidad sea explotada. Para ello, el EPSS recopila datos de utilización de exploits publicados procedentes de diversas fuentes, como sistemas IDS/IPS, agentes basados en host y código de exploits publicado en repositorios (como Exploit-DB y Metasploit). A toda esta información recopilada se le incorpora información específica, como las características de la vulnerabilidad, dando como resultado una estructura en forma de tabla con las siguientes características:

- Filas: representan las vulnerabilidades.
- Columnas: indican los atributos relevantes, como el histórico de explotación.

A partir de los datos aportados, y mediante los cálculos del análisis estadístico, la regresión o las técnicas de aprendizaje automático aplicadas permiten generar la probabilidad estimada de que una vulnerabilidad sea explotada en los próximos 30 días.

Gracias a la combinación de los resultados proporcionados por las métricas CVSS y EPSS, el equipo de defensa puede centrarse en aquellas vulnerabilidades que presenten una criticidad alta y que además tengan más probabilidades de ser explotadas en los próximos 30 días. De esta manera, de las 2.214 CVE publicadas en los últimos 30 días, sólo 32 tendrían una puntuación EPSS superior al 1%.

Vulnerabilidades con criticidad Alta tras aplicar CVSS y EPSS.

¿Cómo medimos el impacto?

Tal y como hemos visto, gracias al empleo de las métricas CVSS y EPPS, el equipo de defensa consigue reducir la lista de vulnerabilidades desde unos miles hasta un resultado mucho más manejable. Pero ¿es esto suficiente? La respuesta es no; el siguiente paso es establecer el impacto potencial de aquellas vulnerabilidades que sean explotadas.

Es aquí donde entra el enfoque “Threat-informed” o estrategia basada en las amenazas con el que se persigue dar respuesta a la pregunta que todo equipo de defensa se hace: “¿Qué va a hacer el atacante una vez haya explotado la vulnerabilidad?”. El objetivo es contar con la mayor cantidad de información posible acerca de la “historia” que hay detrás de las actividades del atacante. Para ello, contamos con la matriz MITRE ATT&CK®, que proporciona una base de conocimiento acerca de las tácticas y técnicas empleadas por los adversarios y que está basada en información de tipo “Threat-Intelligence”. Su uso está ampliamente extendido ya que proporciona un vocabulario común para describir el comportamiento de los adversarios lo cual permite elaborar estrategias defensivas coordinadas basadas en dichos comportamientos identificados. De esta manera, si una vulnerabilidad es explotada, ATT&CK permitirá al equipo defensor comprender mejor el comportamiento del adversario (descritos como «técnicas ATT&CK») y saber cuál o cuáles serán sus próximos movimientos. Además de permitirnos tener una comprensión profunda de las técnicas empleadas, ATT&CK permite vincular dichas técnicas con mitigaciones que pueden ayudar hacia el establecimiento de un enfoque de “defense-in-depth”.

Salvando las distancias entre los CVE y ATT&CK

Tal y como hemos visto hasta ahora, por una parte, contamos con información de las vulnerabilidades que pueden ser categorizadas y priorizadas en base a las métricas CVSS y EPSS, y por otra con MITRE ATT&CK®, que nos amplia la información acerca del comportamiento del adversario. Sin embargo, aunque ambos enfoques centran la atención en el potencial incidente de seguridad, existe un hueco a la hora de poder relacionar la información aportada por cada una de ellas y resulta interesante pensar en una solución que nos permita disponer de la “foto” o “historia” completa de lo acontecido.

Como respuesta a dicha necesidad, desde el “Center for Threat-Informed Defense (CTID)” de MITRE surge el proyecto “Mapping ATT&CK to CVE for Impact”, que define una metodología para el empleo de la matriz ATT&CK con el que caracterizar el impacto potencial que tendrían la explotación de las vulnerabilidades, permitiendo a los equipos de defensa relacionar técnicas y propiedades modeladas en ATT&CK con vulnerabilidades listadas en CVE. Gracias a este mapeo es posible contar con una mejor y amplia visión de las amenazas y su relación con vulnerabilidades específicas, lo cual redunda en una mejora en la definición de las estrategias de mitigación. El enfoque sistemático y estandarizado que propone el proyecto permite obtener una mejora en la comprensión general de cómo se conectan las vulnerabilidades con las tácticas y técnicas del adversario documentadas en ATT&CK.

Información CVE sobre la vulnerabilidad junto con técnicas ATT&CK.

El objetivo del proyecto es poder estandarizar la forma en que se describen los impactos de las vulnerabilidades, ya que de esta forma los equipos encargados de llevar a cabo las tareas de defensa en las organizaciones podrán utilizar esta información de impacto basada en ATT&CK para mejorar sus modelos de riesgo de manera que sea posible establecer una conexión entre la gestión de vulnerabilidades y el modelado de amenazas.

¿Cómo se refleja esto en los informes de vulnerabilidades?

Cuando trabajamos en la redacción de un informe de vulnerabilidades, es habitual centrarse en los detalles técnicos de las vulnerabilidades identificadas, sin embargo, se ignora el objetivo a alto nivel que el atacante pretende al explotar una vulnerabilidad específica. La metodología detrás del proyecto “Mapping ATT&CK to CVE for Impact” crea un enfoque claro y coherente que permite describir los impactos y los métodos de explotación de las vulnerabilidades. El uso de ATT&CK permite que los informes sobre vulnerabilidades cuenten la “historia” de lo que el atacante intenta conseguir al explotar una vulnerabilidad determinada pudiendo encaja la vulnerabilidad en un escenario de ataque y en su entorno.

¿Cómo beneficia esto a los equipos de defensa?

Los informes de vulnerabilidades que incorporan referencias a técnicas y tácticas de la matriz ATT&CK permiten a los equipos de defensa evaluar de manera más ágil el riesgo generado por la aparición de vulnerabilidades y les permite crear un plan de mitigación. Las técnicas definidas en ATT&CK incluyen información tanto de la detección como de la mitigación, información que puede utilizarse para investigar si las medidas de mitigación que se aplican son adecuadas para abordar la vulnerabilidad o si se necesitan medidas de mitigación adicionales. Por ejemplo, si la técnica de explotación es T1190 (Exploit Public-Facing Application), el defensor debe monitorizar el tráfico entrante y bloquear las peticiones maliciosas. Si el defensor decide que se necesitan mitigaciones adicionales, puede utilizar las asignaciones de ATT&CK a otros recursos como NIST 800-53 o el MITRE “Cyber Analytics Repository” para decidir qué acciones tomar.

El objetivo de la creación de una metodología para asignar técnicas ATT&CK a CVE es el primer paso hacia el objetivo de establecer una conexión entre la gestión de vulnerabilidades y el modelado de amenazas. Sin embargo, esta metodología necesita una adopción generalizada para lo cual resulta imprescindible contar con el esfuerzo de fabricantes, investigadores y especialistas en ciberseguridad para que los usuarios finales dispongan de un acceso coherente a la información sobre vulnerabilidades, incluidas las referencias a las técnicas ATT&CK.

En Perseus aplicamos en nuestros servicios un enfoque “Threat-Informed” para identificar cambios en el estado de amenaza actual y poder, de esta forma, modificar las acciones del SOC antes de que nuestros clientes puedan ser afectados. Aunque históricamente la práctica de Gestión de Vulnerabilidades no se alineaba del todo con esta actividad “Threat-Informed”, el uso de permitir mapeos con tácticas y técnicas ATT&CK nos permite ser más efectivos y poder correlacionar más datos; de esta manera si toda la información que usamos habla el mismo idioma, la toma de decisiones será más certera. Por este motivo, la publicación de metodologías como la indicada en el proyecto “Mapping ATT&CK to CVE for Impact” nos parece una gran iniciativa, y desde Perseus la integraremos en nuestro sistema de gestión a través de nuestra área de I+D para aplicarla de forma sistemática a nuestro ciclo de ciber inteligencia.

Etxahun Sanchez Bazterretxea

CINO

etxahun.sanchez@pers.eus | M: 602 24 44 14

PGP KeyID: 0xB3CD31F4

Parque Tecnológico de Bizkaia Edif. 205B

48170 Zamudio – Bizkaia | F: 944 36 05 04
www.pers.eus

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.