martes, 16 de septiembre de 2008

Gestión de riesgos y CVSS


En risktical.com nos hacen una interesante serie sobre gestión del riesgo y CVSS. Realmente, son los pensamientos del autor sobre por qué CVSS puede ser útil para quien haga un análisis de riesgos sobre una nueva vulnerabilidad, y cuáles son las diferencias con respecto al análisis completo. Particularmente, lo relaciona con una metodología de análisis de riesgos denominada FAIR.

Nos hace, entre otras reflexiones, una muy importante, para no confundir términos. Yo los confundía cuando empecé en estos temas, por lo que me parece interesante plasmarlo aquí. Y es que el resultado de la métrica no es una medida real del riesgo que una organización corre, pues hay otros factores a tener en cuenta para calcular la severidad real de una vulnerabilidad para una organización.

Con CVSS, la valoración de una vulnerabilidad no tiene en cuenta las salvaguardas que una organización ya tuviera desplegadas y que pueden servir para mitigar o incluso impedir un posible ataque. Tampoco la frecuencia con la que se tienen pérdidas debido a un ataque realizado con éxito, o el coste de las salvaguardas. Por tanto, es obvio que la medida final que se obtiene con CVSS no es lo mismo que el riesgo real que supone la vulnerabilidad medida. Y sin embargo, en CVSS Guide se indica que uno de los beneficios es obtener un nivel de riesgo priorizado.

Por tanto, CVSS debería ser usado como lo que es, es decir una métrica para valorar una vulnerabilidad por sí misma, y no el riesgo que supone para una organización. Hay que tener en cuenta, además, que el cálculo realizado por CVSS podría variar con el tiempo, pues uno de sus grupos de métricas, "temporal", refleja datos que pueden cambiar, por ejemplo, si hay un exploit efectivo disponible públicamente (en sitios como milw0rm). Por lo que la valoración de la vulnerabilidad en un momento dado, puede no ser la que haya que tener en cuenta finalmente para el análisis de riesgos. O podría requerirse una segunda iteración de este análisis.

Creo que podría ser interesante ver otros mapeos de CVSS con respecto a metodologías de análisis de riesgos.

Aquí van los enlaces a las cinco entradas de que consta la serie, como os digo, muy interesante:
Risk and CVSS - parte 1
Risk and CVSS - parte 2
Risk and CVSS - parte 3
Risk and CVSS - parte 4
Risk and CVSS - parte 5

Entradas relacionadas:
Measurable security: sobre CVSS y otros proyectos de FIRST

Slds!

Si te gustó esta entrada, quizás quieras suscribirte al blog por email o por RSS...

1 comentario:

Chris Hayes @ riskical dijo...

I am glad you came across the CVSS posts and understood what I was trying to convey. Thanks for linking to it!