jueves, 16 de julio de 2026
Policial

Especialistas en seguridad informática analizan metodologías de clasificación y gestión de vulnerabilidades en sistemas de información

El Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon, en colaboración con CISA, creó en 2019 el sistema de Categorización de Vulnerabilidades Específicas para las Partes Interesadas (SSVC – Stakeholder-Specific Vulnerability Categorization) para proporcionar a la comunidad cibernética una metodología de análisis de vulnerabilidades que considere el estado de explotación de una vulnerabilidad, su impacto en la seguridad y la prevalencia del producto afectado en un sistema específico.

CISA colaboró con SEI en 2020 para desarrollar su propio árbol de decisiones SSVC personalizado para examinar las vulnerabilidades relevantes para el gobierno de los Estados Unidos (USG), así como para los gobiernos estatales, locales, tribales y territoriales (SLTT), y las entidades de infraestructura crítica. La implementación de SSVC ha permitido a CISA priorizar mejor su respuesta a las vulnerabilidades y la comunicación pública sobre ellas.

El SSVC es un marco de toma de decisiones diseñado para ayudar a los equipos de seguridad a priorizar y responder a las vulnerabilidades de manera eficiente. A diferencia del CVSS, que se centra en la gravedad técnica, el SSVC se enfoca en la respuesta operativa necesaria, es decir, qué acción se debe tomar y con qué urgencia.

El SSVC utiliza un «árbol de decisiones» para guiar a los analistas a través de una serie de preguntas contextuales, como: ¿Es explotable la vulnerabilidad?, ¿Existe una explotación conocida públicamente? y ¿Qué tipo de impacto podría causar?

CISA utiliza su propio modelo de árbol de decisiones SSVC para priorizar las vulnerabilidades relevantes en cuatro posibles decisiones:

Track (Seguimiento): La vulnerabilidad no requiere acción por el momento. La organización continuará monitoreando la vulnerabilidad y la reevaluará si se dispone de nueva información. CISA recomienda remediar las vulnerabilidades de seguimiento dentro de los plazos de actualización estándar.

Track* (Seguimiento*): La vulnerabilidad contiene características específicas que podrían requerir una monitorización más estrecha para detectar cambios. CISA recomienda remediar las vulnerabilidades Track* dentro de los plazos de actualización estándar.

Attend (Atención): La vulnerabilidad requiere la atención de los supervisores internos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, y pueden implicar la publicación de una notificación interna o externa. CISA recomienda remediar las vulnerabilidades de Atención antes de los plazos de actualización estándar.

Act (Actuar): La vulnerabilidad requiere la atención de los miembros internos, supervisores y directivos de la organización. Las acciones necesarias incluyen solicitar asistencia o información sobre la vulnerabilidad, así como publicar una notificación interna o externa. Normalmente, los grupos internos se reúnen para determinar la respuesta general y luego ejecutan las acciones acordadas. CISA recomienda remediar las vulnerabilidades de Actuar lo antes posible.

El árbol CISA SSVC determina las decisiones de Track, Track*, Attend y Act en función de cinco valores: Estado de explotación, Impacto técnico, Automatizable, Prevalencia de la misión e Impacto en el bienestar público.

SSVC es una metodología para priorizar la respuesta a la vulnerabilidad según las necesidades de las distintas partes interesadas. Sus conceptos centrales incluyen los roles de las partes interesadas, ya que los distintos participantes en el proceso de respuesta a vulnerabilidades tienen distintas necesidades y prioridades, pudiendo incluir proveedores de parches, implementadores, coordinadores y otros.

Cada rol de parte interesada debe tomar decisiones sobre cómo responder a las vulnerabilidades. Para un proveedor, la decisión podría ser sobre cómo priorizar la creación de parches. Para un implementador, la decisión podría ser sobre cómo priorizar la implementación de parches. Los coordinadores generalmente deben decidir si coordinar una respuesta y si publicar información sobre una vulnerabilidad que han coordinado.

Cada decisión se basa en un conjunto de datos o puntos de decisión, que son los factores que influyen en la decisión. Por ejemplo, la decisión de implementar un parche podría verse influenciada por la gravedad de la vulnerabilidad, la disponibilidad de un exploit y el impacto de la vulnerabilidad en el sistema.

Cada decisión tiene un conjunto de posibles resultados, que son los posibles desenlaces de la decisión. Por ejemplo, una decisión sobre la implementación de un parche podría tener resultados como «inmediato», «programado», «diferido» y «fuera de ciclo».

Usar SSVC para priorizar la respuesta a vulnerabilidades requiere seguir varios pasos. En primer lugar, preparar la iniciativa definiendo la decisión que desea tomar, los resultados que le interesan, los puntos de decisión que utilizará para tomar la decisión, la tabla de decisiones, los datos que necesita para informar los puntos de decisión y el proceso para mantener su modelo de decisión.

Seguidamente, recolectar los datos que necesita para tomar decisiones informadas, utilizar SSVC para tomar decisiones sobre cómo responder a las vulnerabilidades y, finalmente, responder a las vulnerabilidades según la priorización establecida.

Con Información de blog.segu-info.com.ar

Editor

Redacción.

Deja tu comentario