AJDERNIZ
Ciberseguridad
Alumno: Axel López
Grupo: IC
Profesor: Johel Solano Quirós
Cybersecurity Essentials
Módulo 25: Evaluación de Vulnerabilidad de Terminales
1. Defina el Sistema Común de Puntuación de Vulnerabilidades (CVSS)
Se trata de un sistema con el cual se catalogan las vulnerabilidades de acuerdo con sus características y severidad.
2. ¿Cuál es el propósito de CVSS según el módulo?
Según los beneficios de CVSS:
- Proveer un sistema de calificación estandarizada compatible entre organizaciones,
- el cual funciona bajo un marco de trabajo abierto, cuyas métricas están disponibles para ser vistas por todos,
- y que ayuda a asignar prioridad a los riesgos de modo tal que puede resultar útil y significativa para cualquier organización.
3. Enumere los dos tipos de métricas que componen las métricas base en CVSS
- Métricas de "explotabilidad"
- Métricas de impacto
4. ¿Cómo se describe la explotación en el contexto de las métricas base de CVSS
La posibilidad o facilidad de que se lleve a cabo un ataque basándose en aspectos del vector de ataque, complejidad, privilegios necesarios e interacción necesaria por parte del usuario.
5. ¿Qué implica la administración de riesgos en una organización según el documento?
Se trata de un proceso cíclico, dedicado a la "selección y especificación" de los controles de seguridad de una organización, en relación con la identificación y manejo de riesgos relevantes a la seguridad de la infraestructura de ésta.
6. Mencione la fuente de información sobre vulnerabilidades mencionada en el módulo que proporciona identificadores CVE
No entiendo la pregunta. CVE significa "Common Vulnerabilities and Exposures". Al parecer, se trata de un sistema que, según Wikipedia, provee un método para referenciar... pues, vulnerabilidades y exposiciones comunes. Es como una... ¿base de datos? Y, al parecer, hubo un asunto el mes pasado con respecto a los fondos que recibe MITRE (la compañía encargada de CVE) por parte del gobierno de los Estados Unidos... Al final, lo que entendí es que trabaja en tándem con los CVSS.
7. ¿Qué objetivo tiene la administración de vulnerabilidades según el NIST?
"Prevenir la explotación de vulnerabilidades de TI que existen dentro de una organización." En esencia, se trata de todo esfuerzo dedicado a mantener bajo control las vulnerabilidades y la reacción ante estas en una organización.
8. ¿Cuál es el nivel de riesgo que se debe afrontar según el documento?
¿3,9? Medio, supongo. Aunque eso es una calificación de vulnerabilidad, no de riesgos...
9. ¿Qué se entiende por "grupo de métricas ambientales" en el contexto de CVSS?
Son métricas que se determinan de acuerdo con el contexto específico y las necesidades de una organización y su propio ecosistema. Sirven para agregar un "ajuste" a las métricas base, con la finalidad de adaptar las CVSS a las prioridades de la empresa. Odio el énfasis en las empresas.
10. ¿Qué debe hacer una organización cuando identifica una vulnerabilidad superior a la puntuación de 3,9?
Tomarla en cuenta, actuar en pro de solucionar o tratar la vulnerabilidad.
11. ¿Cuáles son las consecuencias de no gestionar proactivamente las vulnerabilidades?
Quedan puntos sin resguardo que podrían ser explotados; y sería mucho más costoso y lamentable tener que reaccionar ante una situación de desastre.
12. ¿Qué es un identificadors CVE y por qué es importante?
Es el asunto del que estábamos hablando antes. Es importante, principalmente porque es un estándar abierto, compatible entre entidades, y trabaja en conjunto con las CVSS.
13. Describa qué información adicional proporciona la Base de Datos Nacional sobre Vulnerabilidades (NVD)
Provee información adicional sobre las vulnerabilidades, haciendo uso de los identificadores CVE. Entre la información que ofrece se encuentran detalles técnicos, calificaciones de riesgos, entidades afectadas, y fuentes para realizar una investigación más a fondo.
14. ¿Cómo ayuda la puntuación CVSS a las organizaciones?
Permite asignar una mayor prioridad al trato de las vulnerabilidades más severas por sobre las más bajas, haciendo uso de información compartida públicamente.
15. ¿Qué aspectos específicos miden las métricas ambientales en una organización?
- Métricas básicas modificadas
- Requisitos de confidencialidad
- Requisitos de integridad
- Requisotos de disponibilidad
16. Explique la relación entre la urgencia de abordar una vulnerabilidad y su clasificación de gravedad
Ya estamos inventando nuevas para extender el cuestionario, ¿no? La relación es prácticamente directa. O debería de serlo. Una calificación de gravedad media a crítica, debería de ser tomada como la primera señal para comenzar un proceso para afrontar la vulnerabilidad.
17. ¿Qué debe hacer el personal de seguridad ante nuevos boletines sobre vulnerabilidades?
Leerlos, tomarlos en cuenta si son sobre algún módulo que forma parte del sistema empleado.
18. ¿Cuál es la función del grupo de métricas temporales en CVSS?
Calificar las características que posee una vulnerabilidad a lo largo del tiempo. Son cualidades que cambian.
19. Enumere las entidades afectadas según la información de la NVD
Ningún resultado en la búsqueda me muestra una "enumeración de las entidades afectadas". La calculadora menciona el impacto a cada concepto de la tríada CIA.
20. Mencione una práctica de seguridad diseñada para prevenir la explotación de las vulnerabilidades de TI dentro de una organización
No estoy seguro de que esto esté en el módulo. Pero una práctica en conrceto siempre es reducir la cantidad de elementos innecesarios, como puertos abiertos o programas redundantes.
21. Describa cómo se genera una puntuación a partir de la calculadora de CVSS
La matemática no me la sé, ni la voy a copiar-y-pegar acá. Sólo sé que existe una calculadora en este sitio. La calificación final depende del valor asignado a cada una de las respuestas.
22. ¿Qué significa "explotabilidad" en las métricas base de CVSS?
Según lo que interpreto, es la probabilidad, o más bien, posibilidad de que una vulnerabilidad sea utilizada para llevar a cabo un ataque.
23. Explique la importancia de la competencia del personal de seguridad al evaluar vulnerabilidades
La experiencia de quien realice la evaluación de una vulnerabilidad afecta la certeza con que la califica, afectando así la credibilidad y por tanto la utilidad de su aporte.
24. ¿Qué relación existe entre CVSS y la NVD?
La base de datos de la NVD está compuesta por CVSS, y también ofrece esa calculadora para generar reportes en formato CVSS.
25. Defina qué son las métricas de impacto en el contexto de CVSS
Se trata de una calificación del impacto que podría ejercer una vulnerabilidad sobre cualquiera de los miembros de la tríada CIA: confidencialidad, integridad y disponibilidad.