A versão 4.0, prestes a ser lançada, do Common Vulnerability Scoring System (CVSS) promete corrigir uma série de problemas com a métrica de gravidade para bugs de segurança. Mas especialistas em vulnerabilidade dizem que priorizar patches ou medir a capacidade de exploração ainda será um osso duro de roer.
O Fórum de Resposta a Incidentes e Equipes de Segurança (FIRST) lançou uma prévia da próxima versão do CVSS na semana passada em sua conferência anual. A versão 4 eliminará a vaga métrica “temporal”, substituindo-a pela métrica “ameaça” mais descritiva e adicionará outros fatores ao cálculo da métrica base. As mudanças melhoram a usabilidade geral do CVSS, de acordo com a FIRST, que acrescentou que as empresas e organizações podem experimentar a métrica para classificar as vulnerabilidades atuais e fornecer feedback antes do lançamento da versão geral.
O CVSS 4 adiciona dois novos fatores para as empresas usarem no cálculo da métrica base: Requisitos de Ataque (AT) e Interação do Usuário (UI), medindo a complexidade do ataque e se um ataque requer interação do usuário, de acordo com a descrição da nova especificação . Além disso, um componente do CVSS é a pontuação ambiental, que é específica da empresa e mede o impacto que uma vulnerabilidade pode ter em seu ambiente de TI.
“[T]este lançamento mais recente marca um passo significativo com recursos adicionais cruciais para equipes com a importância de usar inteligência de ameaças e métricas ambientais para pontuação precisa em seu núcleo”, disse a FIRST em um comunicado sobre a versão prévia do CVSS 4 .
Priorização de Patch Precisa Mais do que CVSS
Um Sistema de Pontuação de Vulnerabilidade Comum melhor poderia dar às empresas uma abordagem melhor para decidir quais vulnerabilidades devem receber prioridade para correção , mas não deve ser visto como uma panacéia, dizem os especialistas.
Quando se trata de determinar a explorabilidade, uma das maiores métricas que as organizações usam para priorizar os patches, as empresas têm várias ferramentas. Eles podem usar o CVSS, a lista Known Exploited Vulnerability (KEV) da US Cybersecurity and Infrastructure Security Agency (CISA), o Exploit Predication Scoring System (EPSS) ou outros sistemas proprietários, como o Coalition Exploit Scoring System . No entanto, qualquer abordagem deve corresponder às capacidades e recursos de uma organização, diz Sasha Romanosky, pesquisador sênior de políticas da RAND Corp., um think tank global de políticas e pesquisas.
“A questão não é tanto [qual abordagem], mas a estratégia que se usa que produz a melhor lista – ou seja, priorizada – para sua organização”, diz Romanosky, colaborador do CVSS e do EPSS. “Aprendemos que o CVSS não é um bom indicador de ameaça — exploração — [por conta própria, e] foi uma pílula difícil para nós, os criadores [do] CVSS, engolir, mas é a realidade.”
Conhecer os sistemas que fazem parte da área de superfície de ataque de uma organização, por exemplo, é fundamental, diz Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative (ZDI) da Trend Micro.
“Uma coisa que sempre recomendo é ser implacável em sua descoberta de ativos e entender quais sistemas são essenciais para seus negócios”, diz ele. “Isso ajudará na priorização.”
Tempo CVSS, Desafios de Complexidade
O novo CVSS ainda enfrenta obstáculos quando se trata de fornecer avaliações acionáveis para priorização. Por exemplo, as métricas de exploração também precisam ser geradas rapidamente, para que as organizações tenham orientação o mais rápido possível para tomar decisões sobre a priorização de patches, diz Scott Walsh, pesquisador sênior de segurança da Coalition, uma empresa de seguro cibernético de proteção ativa.
“Quando um novo CVE é anunciado, os gerentes de risco e defensores podem recorrer ao CVSS ou ao EPSS para obter pontuações de gravidade e explorabilidade, mas esses sistemas padrão do setor geralmente levam tempo para pontuar novos CVEs – de uma semana a um mês “, diz ele. “Durante esse período, as organizações nem sempre sabem quais vulnerabilidades têm o maior potencial de afetar negativamente seus ecossistemas e tecnologias digitais individuais”.
Além disso, o CVSS mais recente pode ser complexo de decifrar, com quase duas dúzias de atributos usados para calcular a métrica básica — complexidade que pode prejudicar a capacidade das equipes de segurança de avaliar seus riscos.
“Essas variáveis exigirão que várias unidades de negócios cheguem a um acordo sobre os impactos e requisitos”, diz ele. “Na segurança, o tempo é essencial e uma resposta rápida pode ser a diferença entre prevenir com sucesso um ataque ou ser uma vítima. Essas variáveis tornam o processo de avaliação de vulnerabilidade lento e complicado ao responder a uma nova ameaça.”
FONTE: DARKREADING