Aquí Están las Respuestas a 16 Preguntas sobre la Priorización Predictiva
A principios de este año, Tenable presentó la Priorización Predictiva, un innovador proceso basado en ciencia donde se vuelven a priorizar las vulnerabilidades con base en la probabilidad de que se aprovechen en un ataque. Aquí respondemos a sus 16 preguntas más apremiantes relacionadas a lo que representa esta capacidad para su ejecución de gestión de vulnerabilidades.
Se dieron a conocer 16 500 nuevas vulnerabilidades en 2018 — y CVSS categorizó a la mayoría de ellas como de gravedad alta o crítica. Dado que las vulnerabilidades están elevándose, ¿cómo puede usted identificar las mayores amenazas para su negocio y saber qué reparar primero? La Priorización Predictiva es un proceso innovador que cambia la forma en que las organizaciones abordan la sobrecarga de vulnerabilidades, y le permite concentrarse en la reparación de las vulnerabilidades que más importan. ¿Tiene curiosidad por saber cómo funciona la Priorización Predictiva? Obtenga las respuestas a esta y a otras preguntas comunes.
P. ¿Qué es la Priorización Predictiva?
R. La Priorización Predictiva es el proceso donde se vuelven a priorizar las vulnerabilidades con base en la probabilidad de que se aprovechen en un ataque.
P. ¿Cuál es la diferencia entre la Priorización Predictiva y el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR)?
R. El resultado del proceso de Priorización Predictiva es el Índice de Priorización de Vulnerabilidades (VPR), que indica la prioridad de reparación para una vulnerabilidad individual. El VPR opera en una escala de cero a 10, en la que 10 es la mayor gravedad. Vea el siguiente video para obtener más información sobre el VPR.
P. ¿Por qué necesito un índice VPR? ¿No prioriza ya CVSS las vulnerabilidades?
R. El CVSS hace un buen trabajo registrando el alcance y el impacto de las vulnerabilidades; ofrece una explicación sólida de lo que podría suceder si se explota una vulnerabilidad determinada. También proporciona una base para medir la probabilidad de que se explote una vulnerabilidad. Sin embargo, su aplicación actual no ofrece la granularidad necesaria para establecer prioridades de manera efectiva. El CVSS califica aproximadamente el 60 % de todas las CVE como de gravedad Alta o Crítica.
La Priorización Predictiva se mantiene fiel al marco del CVSS (vea la figura abajo), pero lo mejora con el reemplazo de los componentes de explotabilidad y de madurez del código del exploit del CVSS por una puntuación de amenazas generada mediante aprendizaje automático, que funciona con un conjunto diverso de fuentes de datos. Esto significa que las organizaciones pueden tomar decisiones de reparación con base en las vulnerabilidades que:
- Tienen probabilidades de explotabilidad
- Tendrán un gran impacto si se explotan
P. ¿Los índices VPR reemplazan a las puntuaciones CVSS?
R. No. Recomendamos que complemente sus procesos existentes de priorización (p. ej., CVSS) con VPR.
P. ¿Cómo se comparan los rangos de gravedad de VPR con los rangos de gravedad de CVSS?
R. En CVSS y VPR, se utilizan los mismos cortes para crear rangos. Sin embargo las distribuciones son muy diferentes como resultado del proceso de priorización (vea la figura interactiva a continuación).
P. ¿Qué vulnerabilidades obtienen un VPR?
R. Actualmente, la Priorización Predictiva produce un VPR para todas las vulnerabilidades que tengan una CVE publicada en la Base de Datos Nacional de Vulnerabilidades (NVD) de los EE. UU. Tenemos la intención de ampliar el alcance de las vulnerabilidades calificadas por la Priorización Predictiva en el futuro.
P. ¿El VPR (índice) puede cambiar?
R. Sí, la Priorización Predictiva recalcula los VPR para cada CVE cada día. Pueden cambiar o no, según el panorama de amenazas.
P. ¿La Priorización Predictiva genera un VPR para las CVE que no tienen una puntuación CVSS?
R. Sí. Si una CVE no tiene métricas/puntuaciones CVSS publicadas, la Priorización Predictiva generará un VPR usando la información disponible (p. ej., la descripción de la vulnerabilidad). Luego, usamos el VPR como fuente en un modelo que predice las puntuaciones con base en los términos que aparecen en el texto sin procesar.
Por ejemplo, si la descripción de la vulnerabilidad contiene los términos “Adobe” y “ejecución arbitraria de código”, entonces el modelo podría predecir puntuaciones CVSS altas debido a la actividad pasada sobre vulnerabilidades con características similares. Cuando las puntuaciones CVSS reales están disponibles, reemplazan los valores de la predicción. Esto implica una ventaja, ya que normalmente la NVD tarda 45 días en publicar las puntuaciones CVSS después de la publicación de la vulnerabilidad.
P. Ayúdenme a comprender los índices VPR. ¿Qué implica un VPR de gravedad crítica (>9)? Y ¿qué implica un VPR de gravedad baja?
R. En términos generales, un VPR de gravedad crítica significa que la vulnerabilidad en cuestión tiene una alta probabilidad de ser explotada o que, si esa vulnerabilidad es explotada con éxito, su impacto sería significativo.
Por otro lado, la Priorización Predictiva asigna un VPR de gravedad baja a las vulnerabilidades que tienen una probabilidad de explotación inferior y/o a aquellas que, si fueran explotadas con éxito, su impacto sería bajo. Sin embargo, tenga en cuenta que no podemos decir con seguridad total que una vulnerabilidad no será explotada.
P. Tenable dice que la Priorización Predictiva me ayudará a concentrarme en el 3 % que más importa. ¿Qué implica ese 3 %?
R. Este 3 % corresponde a las vulnerabilidades con un VPR de gravedad alta o crítica y le da una idea de qué vulnerabilidades priorizar para su reparación. Recomendamos que comience a reparar las vulnerabilidades con VPR de gravedad crítica y alta y que, luego, continúe hacia abajo en la lista. De ninguna manera estamos sugiriendo que usted deba ignorar el otro 97 % de las vulnerabilidades.
P. ¿En qué se diferencia el VPR de la puntuación CVSS temporal?
R. La principal diferencia entre ambas es que el VPR predice el futuro, mientras que el CVSS solo observa el pasado. El VPR no solo considera la disponibilidad y funcionalidad del código del exploit, sino que también predice la probabilidad de explotación en el futuro a corto plazo. El VPR es más granular también en la forma en que se adapta a la explotación.
P. “Predictiva” suena interesante, ¿pero por qué es importante?
R. En lugar de analizar únicamente los datos históricos para calificar las vulnerabilidades, el uso de datos históricos y un algoritmo predictivo basado en el aprendizaje automático nos ayudan a anticipar lo que es probable que suceda (en lugar de anunciar lo que ya sucedió) y a planificar en función de ello. Al gestionar el riesgo, es importante saber si algo sucedió en el pasado, pero es mucho más importante saber qué es probable que suceda en el futuro.
P. ¿Existe una diferencia entre algo que “es explotable” y algo que “es explotado”?
R. Sí. Si algo es explotable, significa simplemente que hay un exploit disponible, y podría ser tan básico como una prueba de concepto poco confiable publicada en un archivo público. Sin embargo, una vulnerabilidad explotada es grave: significa que un exploit ha aprovechado con éxito una vulnerabilidad.
P. ¿Qué sucede si una vulnerabilidad ya ha sido explotada?
R. Si bien una vulnerabilidad puede haber sido explotada en el pasado, la probabilidad de que sea explotada activamente (es decir, utilizada en ataques cibernéticos) en el futuro puede cambiar con el tiempo.
P. ¿Usted analiza el historial completo de cada vulnerabilidad?
R. Analizamos toda la información disponible desde la publicación de la vulnerabilidad.
P. ¿Cuáles son los datos de entrada en el modelo de aprendizaje automático para la puntuación de amenazas?
R. Actualmente, la Priorización Predictiva usa más de 150 características distintas como entradas en el modelo de aprendizaje automático para generar la puntuación de amenazas. Una característica (o entrada) es un atributo de una CVE que nos permite describirla o comprenderla más claramente. Estos son algunos ejemplos:
- La antigüedad de la vulnerabilidad
- La disponibilidad del kit del exploit
- Las conversaciones en la dark web
En términos generales, tendemos a agrupar las características en estas categorías:
- Patrones de amenazas del pasado (por ejemplo, la evidencia de explotación en el pasado: ¿qué tan reciente? ¿qué tan frecuente?)
- Fuentes de amenazas del pasado (por ejemplo, fuentes específicas que muestran evidencia de explotación)
- Métricas de las vulnerabilidades (métricas del CVSS, como el vector de acceso, la complejidad de ataque, la puntuación básica, etc.)
- Metadatos de las vulnerabilidades (antigüedad de la vulnerabilidad, CVE, proveedor/software afectado por la vulnerabilidad, etc.)
- Disponibilidad del exploit utilizando datos de inteligencia de amenazas (¿la vulnerabilidad se encuentra en Exploit Database? ¿Metasploit?)
Hoy en día, esos datos provienen de siete tipos de fuentes:
- Sitios web sobre la seguridad de la información
- Blogs
- Revelaciones de vulnerabilidades
- Redes sociales
- Foros
- Dark web
- Panorama de vulnerabilidades
Explore los recursos adicionales de Priorización Predictiva
Hemos elaborado estas preguntas frecuentes en función de las preguntas más comunes de nuestros clientes acerca de la Priorización Predictiva, y actualizaremos esta publicación según sea necesario.
A continuación, encontrará otros recursos que pueden resultarle útiles:
- Vea el seminario web disponible bajo demanda, “Para reducir su Cyber Exposure, encuentre y repare (primero) el 3 % de las vulnerabilidades que más importan”.
- Explore la página web de Priorización Predictiva.
Artículos relacionados
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning