¿Qué es CVSS?

La Puntuación de Vulnerabilidad de Impacto Común (CVSS, por sus siglas en inglés) es un estándar de puntuación de seguridad utilizado para medir el impacto de una vulnerabilidad en un sistema. Fue desarrollado por un consorcio de organizaciones de seguridad, incluyendo la National Infrastructure Advisory Council (NIAC) y el National Cyber-Forensics Training Alliance (NCFTA), con el objetivo de proporcionar una puntuación objetiva y comparable de las vulnerabilidades informáticas.

La puntuación CVSS se compone de tres vectores de puntuación: base, temporal y ambiental. Cada vector se compone de varios factores de puntuación que se utilizan para calcular una puntuación numérica final de vulnerabilidad. La puntuación final se utiliza para determinar la gravedad de la vulnerabilidad y para tomar decisiones sobre la prioridad de la mitigación.

El vector de puntuación base se refiere a los aspectos básicos de la vulnerabilidad, como el tipo de ataque necesario para explotarla, el impacto en la confidencialidad, integridad y disponibilidad (CIA) del sistema, y la probabilidad de explotación. El vector temporal se refiere a la madurez de la vulnerabilidad, es decir, si ya existen explotaciones conocidas o soluciones disponibles. El vector ambiental se refiere a las condiciones específicas del sistema objetivo y al impacto en el negocio.

Actualmente existen dos versiones de CVSS, la v2 y la v3, que difieren principalmente en el alcance y los factores de puntuación considerados. CVSS v2 se enfoca principalmente en el impacto técnico de una vulnerabilidad, mientras que CVSS v3 tiene en cuenta tanto el impacto técnico como el impacto del negocio. CVSS v3 también introduce una nueva escala de puntuación, incluye factores de puntuación adicionales y tiene un mayor énfasis en la mitigación.

En resumen, la Puntuación de Vulnerabilidad de Impacto Común (CVSS) es un estándar de puntuación de seguridad ampliamente aceptado para medir el impacto de una vulnerabilidad en un sistema. El vector base se refiere a los aspectos básicos de la vulnerabilidad, el vector temporal se refiere a la madurez de la vulnerabilidad y el vector ambiental se refiere a las condiciones específicas del sistema objetivo y al impacto en el negocio. Existen 2 versiones CVSSv2 y v3, y son diferentes en el alcance y factores de puntuación considerados.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.