Abordando Reportes de Vulnerabilidad Incompletos en Ciberseguridad
Un estudio sobre cómo mejorar la gestión de vulnerabilidades a pesar de informes incompletos.
― 6 minilectura
Tabla de contenidos
La ciberseguridad es clave para proteger los sistemas de información. Una parte fundamental de esto es gestionar las Vulnerabilidades, que son debilidades que pueden ser aprovechadas en software o hardware. La Base de Datos Nacional de Divulgación de Vulnerabilidades (NVD) es un recurso importante que recopila y comparte información sobre estas vulnerabilidades. Sin embargo, a veces los informes sobre vulnerabilidades están incompletos cuando se publican por primera vez. Esto puede dificultar que los profesionales de seguridad reaccionen rápida y efectivamente.
Este artículo habla de un estudio que analiza con qué frecuencia y por qué ocurren estos informes incompletos. También presenta un nuevo sistema de tickets diseñado para ayudar a gestionar vulnerabilidades incluso cuando falta información.
Visión general de las Vulnerabilidades
Una vulnerabilidad se define típicamente como una debilidad en software o hardware que puede ser explotada, lo que conlleva efectos negativos como la pérdida de privacidad de datos o el fallo de un sistema. La NVD lleva un registro de las vulnerabilidades y le asigna a cada una un identificador único, conocido como Enumeración Común de Vulnerabilidades (CVE). Una entrada CVE generalmente incluye una descripción de la vulnerabilidad, un puntaje de severidad, sugerencias para solucionar el problema y una lista de productos afectados.
Desafortunadamente, muchas entradas CVE se publican sin información completa. Esto puede incluir puntajes de severidad faltantes-importantes para evaluar cuán grave es la vulnerabilidad-o listas de productos faltantes que ayudan a las organizaciones a saber si están afectadas.
Importancia de la Información Completa
Cuando un informe CVE carece de información clave, puede generar desafíos significativos. Por ejemplo, sin un puntaje de severidad, los equipos de seguridad tienen dificultades para priorizar qué vulnerabilidades necesitan atención inmediata. Si falta la lista de productos afectados, los equipos pueden no saber si sus sistemas están en riesgo.
Estos vacíos obligan a las organizaciones a tomar decisiones difíciles sobre si exponerse a posibles ataques o dejar de usar cierto software. Por lo tanto, tener información completa en estos informes es vital para una gestión efectiva de vulnerabilidades.
Enfoque del Estudio
Para entender cuántas vulnerabilidades se informan con información incompleta y con qué rapidez se actualizan, recopilamos datos de la NVD durante un período de tres meses. Durante este tiempo, se publicaron miles de informes y rastreamos qué porcentaje de ellos eran incompletos.
Recolección de Datos
Descargamos conjuntos de datos de vulnerabilidades todos los días para obtener la información más precisa. Esto nos permitió analizar los informes de vulnerabilidades publicados dentro de este período y identificar aquellos que empezaron con información incompleta.
Hallazgos Clave del Estudio
Frecuencia de Informes Incompletos
Nuestro análisis mostró que un número significativo de informes de vulnerabilidades se publica inicialmente sin información completa. Específicamente, encontramos que alrededor del 28% de los informes carecían de un puntaje de severidad, y alrededor del 52% no incluía una lista de productos. Además, un pequeño número de informes (2%) no contenía ninguna sugerencia para solucionar el problema.
Tiempo para Actualizar
En los casos donde el informe inicial carecía de un puntaje de severidad, el tiempo promedio hasta que se añadió un puntaje fue de alrededor de 11 días. Para las entradas que faltaban listas de productos, tomó aproximadamente 11.5 días recibir actualizaciones. Este retraso puede crear riesgos para las organizaciones, ya que pueden no saber por más de una semana si están expuestas a una vulnerabilidad.
Sin Sugerencia para Soluciones
Descubrir que alrededor del 2% de las vulnerabilidades no tienen una solución propuesta o actualización es preocupante. Cuando no se proporciona ninguna solución, los equipos de seguridad se quedan sin orientación sobre cómo responder, lo que aumenta el riesgo para los sistemas que gestionan.
Propuesta del Sistema de Tickets
Dada la ocurrencia común de informes incompletos, proponemos un nuevo sistema de tickets. Este sistema ayuda a los profesionales de seguridad a gestionar vulnerabilidades incluso cuando faltan información completa.
Función del Sistema de Tickets
El sistema de tickets permite a las organizaciones crear tickets para vulnerabilidades basándose en informes existentes. Esto significa que pueden comenzar a abordar vulnerabilidades, incluso si faltan algunos detalles. El sistema también ayuda a agrupar vulnerabilidades relacionadas, facilitando su gestión y seguimiento.
Importancia de la Automatización
Al automatizar partes del proceso de gestión de vulnerabilidades a través de este sistema de tickets, las organizaciones pueden responder más rápido a amenazas potenciales. El sistema utiliza datos existentes para crear tickets, ayudando a priorizar las vulnerabilidades que necesitan atención.
Implementación del Estudio de Caso
Para probar la efectividad del sistema de tickets propuesto, lo implementamos dentro de una empresa grande. Rastreamos vulnerabilidades en los activos de software de la empresa y evaluamos el número de tickets generados para tratar con ellas.
Resultados de la Implementación
Los resultados revelaron que el sistema identificó y gestionó efectivamente las vulnerabilidades, incluso cuando faltaba información clave. Se destacaron alrededor de 39 grupos de activos con vulnerabilidades cada día, y se generaron múltiples tickets para vulnerabilidades dentro del mismo software.
Sin embargo, ocurren algunos falsos positivos, donde se crearon tickets para vulnerabilidades que no se aplicaban a los activos de la empresa. A pesar de esto, los resultados generales indicaron que los beneficios del sistema de tickets superaron las desventajas.
Conclusión
El estudio destaca cuán comunes son los informes incompletos de vulnerabilidades y los desafíos que representan para los profesionales de seguridad. El sistema de tickets propuesto ofrece una solución para gestionar estas vulnerabilidades incluso cuando falta información. A medida que las amenazas de ciberseguridad continúan creciendo, estos sistemas serán esenciales para ayudar a las organizaciones a mantenerse seguras.
Investigaciones adicionales pueden construir sobre este estudio fundamental para refinar y mejorar el sistema de tickets y sus funcionalidades, a fin de ayudar a las organizaciones mientras navegan por el paisaje siempre cambiante de la ciberseguridad.
Al centrarse en crear procesos eficientes y automatizar tareas de gestión de vulnerabilidades, las organizaciones pueden proteger mejor sus sistemas y responder a las vulnerabilidades de manera oportuna. Con este enfoque, las posibilidades de verse afectado por vulnerabilidades no atendidas pueden disminuir significativamente.
Título: Half-Day Vulnerabilities: A study of the First Days of CVE Entries
Resumen: The National Vulnerability Disclosure Database is an invaluable source of information for security professionals and researchers. However, in some cases, a vulnerability report is initially published with incomplete information, a situation that complicates incident response and mitigation. In this paper, we perform an empirical study of vulnerabilities that are initially submitted with an incomplete report, and present key findings related to their frequency, nature, and the time needed to update them. We further present a novel ticketing process that is tailored to addressing the problems related to such vulnerabilities and demonstrate the use of this system with a real-life use case.
Autores: Kobra Khanmohammadi, Raphael Khoury
Última actualización: 2023-03-14 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2303.07990
Fuente PDF: https://arxiv.org/pdf/2303.07990
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.