Introducción
El sistema de puntuación de vulnerabilidades comunes (Common Vulnerability Scoring System, en adelante CVSS) viene a solucionar la problemática de priorizar las actuaciones entorno a las vulnerabilidades técnicas localizadas dentro de la organización en el proceso de gestión de la vulnerabilidad técnica, unificando la forma en la que las vulnerabilidades son evaluadas.
CVSS constituye un marco de trabajo en el cual se definen una serie de parámetros que permiten asignar un valor de riesgo a una determinada vulnerabilidad basándose en tres diferentes grupos de métricas:
•Métricas Base: recogen las características intrínsecas y fundamentales de la vulnerabilidad que son independientes del tiempo y del entorno en el que ésta se pueda presentar.
•Métricas Temporales: refleja aquellas cualidades que pueden variar en el tiempo.
•Métricas del Entrono: involucran aquellas variables que dependen del entorno en el que se encuentra la vulnerabilidad.
¿Cómo funciona CVSS?
La idea para el cálculo del valor de la vulnerabilidad pasa por hacer obligatorio el cálculo de las métricas base y opcional los cálculos de las métricas temporal y de entorno siendo estas últimas modificadores de la base.
De esta forma, una vez fijados los valores que componen la fórmula de cálculo base se obtiene un valor entre 0 y 10 que posteriormente puede ser refinado por características temporales o del entorno. Este valor irá acompañado de lo que se denomina Vector que no es otra cosa que una cadena de texto donde se refleja cómo se ha llevado a cabo el cálculo.
Los post completos estan en los siguientes link:
- Parte 1
- Parte 2
No hay comentarios:
Publicar un comentario