Cabecera blog ciberseguridad

LEV: ¿Cuál es la probabilidad de que una vulnerabilidad haya sido explotada?

- Ciber 4 All Team
La métrica LEV mide la probabilidad de que una vulnerabilidad ya haya sido explotada

La métrica LEV diseñada por el NIST tiene como objetivo ayudar a las empresas a priorizar la mitigación de vulnerabilidades que afecten a sus activos digitales

Que se detecte una vulnerabilidad no quiere decir que haya sido o vaya a ser explotada. Por eso, a la hora de mitigar las vulnerabilidades presentes en el software o el hardware es necesario focalizarse en aquellas que presentan una probabilidad de explotación mayor. Para facilitar esta tarea, el National Institute of Standards and Technology (NIST) estadounidense ha desarrollado una nueva métrica: Likely Exploited Vulnerabilities (LEV).

¿Cuál es el factor diferencial de la métrica LEV con respecto a otros indicadores como EPSS o CVSS y a recursos como las listas de vulnerabilidades conocidas explotadas (KEV)? LEV permite medir la probabilidad de que una vulnerabilidad ya haya sido explotada. ¿Por qué es tan importante esta cuestión?

  • Según un estudio, solo un 5% de las vulnerabilidades conocidas han sido explotadas por actores maliciosos.
  • Las empresas no tienen recursos económicos, técnicos y humanos infinitos para acometer la mitigación de las vulnerabilidades.

Por eso, la métrica LEV busca ayudar a las compañías a focalizar sus esfuerzos, primero, en remediar las vulnerabilidades que presentan una probabilidad de explotación mayor.

A continuación, vamos a desgranar las claves de LEV, así como su relación con otras herramientas críticas a la hora de realizar una gestión de vulnerabilidades eficaz.

1. ¿Cómo funciona la métrica LEV?

El equipo del NIST ha desarrollado ecuaciones que permiten medir la probabilidad de que una vulnerabilidad haya sido explotada en el pasado. ¿Qué información emplean estas ecuaciones? Las puntuaciones históricas obtenidas por las vulnerabilidades en la métrica EPSS. De tal forma que la mejora de los resultados de LEV está asociada directamente al rendimiento de EPSS.

¿Cómo se muestran los resultados de la métrica LEV? Como sucede con EPSS, LEV se basa en una escala del 0 al 1. De tal forma que cuanto mayor sea el número que arroja la métrica, más probable es que la vulnerabilidad haya sido explotada.

¿De qué forma se puede emplear la métrica LEV? El NIST propone cuatro casos de uso claves:

  1. Obtener una estimación sobre cuántas vulnerabilidades presentes en la infraestructura tecnológica de una empresa han sido explotadas en el pasado.
  2. Evaluar la exhaustividad de las listas de vulnerabilidades explotadas que emplean las organizaciones.
  3. Ampliar las listas de vulnerabilidades explotadas incorporando vulnerabilidades que presentan un riesgo alto de explotación.
  4. Compensar la tendencia del indicador EPSS de subestimar el riesgo de vulnerabilidades ya explotadas.

2. LEV contribuirá a ampliar las listas de vulnerabilidades conocidas que han sido explotadas

En la actualidad, múltiples organizaciones tanto públicas como privadas cuentan con listas de vulnerabilidades que han sido explotadas en el pasado de manera fehaciente.

¿Cuál es el problema de las listas KEV (Known Exploited Vulnerability Lists)? No ofrecen un listado exhaustivo de todas las vulnerabilidades explotadas.

Por ejemplo, la KEV de la Cybersecurity and Infraestructure Security Agency (CISA) de Estados Unidos solo incluye vulnerabilidades que puedan afectar a los sistemas del gobierno estadounidense o a infraestructura crítica del país y que, además, cuenten ya con un método de mitigación.

Como consecuencia de ello, en la KEV de la CISA hay 1.352 vulnerabilidades. Mientras que la cifra de vulnerabilidades hechas públicas ya ha superado las 280.000. Si tenemos en cuenta que en torno al 5% de esas vulnerabilidades han sido explotadas, en realidad estaríamos hablando de 14.000 vulnerabilidades explotadas.

Pues bien, gracias a LEV, las compañías e instituciones públicas pueden ampliar sus listas KEV incorporando vulnerabilidades que no figuran en ellas, pero que presentan una probabilidad de haber sido explotadas elevada.

Así, a la hora de llevar a cabo la gestión de vulnerabilidades y priorizar la mitigación de las mismas, se puede trabajar con listados más exhaustivos y que ofrecen una panorámica más precisa de los riesgos a los que se enfrenta una compañía.

3. LEV y EPSS: Tener en cuenta la explotación pasada y no solo la futura

La métrica Exploit Prediction Scoring System (EPSS), desarrolla por el Forum of Incident Response and Security Teams (FIRST), es empleada por los equipos de gestión de vulnerabilidades para estimar la probabilidad de que una vulnerabilidad vaya a ser explotada en los próximos 30 días.

Así, gracias a EPSS, es posible priorizar la mitigación de las vulnerabilidades cuya explotación activa puede ser inminente.

Sin embargo, EPSS tiene un punto ciego. Según el NIST, las probabilidades que arroja son inexactas para las vulnerabilidades cuya explotación ya ha sido observada en el pasado. De tal forma que la probabilidad que se muestra sería inferior a la real.

La métrica LEV viene a arrojar luz sobre esta cuestión al ofrecer una estimación de que una probabilidad hubiese sido explotada.

Como resulta evidente, LEV y EPSS no son indicadores excluyentes, sino complementarios. La métrica LEV permite matizar los resultados obtenidos por las vulnerabilidades en EPSS.

De tal forma que los profesionales a cargo de la gestión de vulnerabilidades de una compañía tengan a su disposición información de calidad que les permita trazar una estrategia de mitigación de las vulnerabilidades eficaz.

LEV y EPSS son métricas complementarias

4. ¿Qué información proporciona la métrica LEV?

Precisamente, es importante señalar los datos que la métrica LEV provee a los expertos en ciberseguridad sobre cada vulnerabilidad:

  • Nombre de la CVE (Common Vulnerabilities and Exposures).
  • Fecha de publicación de la CVE.
  • Descripción de la vulnerabilidad.
  • Probabilidad de que hubiese sido explotada en el pasado según la métrica LEV.
  • La puntuación máxima obtenida por la vulnerabilidad en EPSS dentro del periodo temporal evaluado.
  • La fecha en que se registró dicha puntuación máxima en EPSS.
  • La puntuación conseguida en EPSS en cada uno de los periodos de 30 días analizados.
  • Las fechas de estos periodos.
  • Los productos afectados por la vulnerabilidad.

5. Priorizar la remediación de las vulnerabilidades es clave

Emplear de manera conjunta el sistema CVSS que permite medir la criticidad de las vulnerabilidades, las listas KEV, el indicador EPSS y la métrica LEV facilita a los profesionales a cargo de la gestión de vulnerabilidades la tarea de diseñar una estrategia de mitigación de las mismas que tenga en cuenta:

  • El hecho de que la vulnerabilidad ya haya sido explotada o la alta probabilidad de que esto ya hubiese sucedido.
  • La dificultad de que los actores maliciosos exploten una vulnerabilidad.
  • El impacto de una explotación exitosa en los activos corporativos.
  • La probabilidad de que la explotación de la vulnerabilidad se produzca en el corto plazo.

Como apuntamos antes, la remediación de vulnerabilidades supone invertir recursos económicos, tecnología, talento y tiempo por parte de las empresas. Las herramientas que venimos de señalar proporcionan información de calidad para dar prioridad a las vulnerabilidades que suponen una mayor amenaza y resultan más acuciantes. De tal forma que los recursos se invierten con la máxima eficiencia y se logre robustecer la seguridad de los activos corporativos.

6. La gestión de vulnerabilidades, una cuestión crítica para las empresas

Una de las áreas clave dentro de la estrategia de ciberseguridad de las empresas es la gestión de vulnerabilidades.

De hecho, normativas pioneras como la futura Ley de Ciberseguridad imponen a miles de empresas una serie de obligaciones en materia de gestión de vulnerabilidades.

¿Por qué es tan importante? Los servicios de gestión de vulnerabilidades permiten a las empresas:

  • Minimizar los riesgos a los que está expuesta su infraestructura tecnológica.
  • Gestionar el ciclo de vida de cada vulnerabilidad.
  • Disponer de un inventario de activos sistematizado y en el que se identifiquen los responsables de cada uno de ellos.
  • Monitorizar permanentemente la seguridad de los activos.
  • Contar con un plan de actuación para optimizar la detección y mitigación de vulnerabilidades.
  • Priorizar las labores de mitigación de las debilidades teniendo en cuenta los datos de indicadores como EPSS, CVSS o LEV.
  • Detectar vulnerabilidades con la máxima celeridad y comenzar a gestionar las vulnerabilidades emergentes cuanto antes.
  • Cumplir con la normativa en vigor.

En definitiva, el NIST ha desarrollado la métrica LEV para que los profesionales encargados de gestionar las vulnerabilidades en las organizaciones puedan saber qué probabilidades hay de que una vulnerabilidad ya haya sido explotada, aunque no figure en ningún listado.

Los servicios de gestión de vulnerabilidades pueden tener en cuenta esta derivada a la hora de diseñar e implementar un plan de mitigación de las vulnerabilidades y, así, sacarles el máximo partido a los recursos disponibles para solventar las deficiencias de seguridad de los activos.

El indicador LEV no viene a sustituir ninguna de las métricas que ya se estaban empleando, sino que proporciona una nueva capa de información a los expertos en ciberseguridad.