La controversia de CVE crea una oportunidad para mejorar

Tras la decisión de última hora de la administración Trump de seguir financiando este esfuerzo durante los próximos 11 meses, se está librando un intenso debate sobre la mejor manera de administrar el seguimiento de las vulnerabilidades y exposiciones comunes (CVE).

Hoy en día, a cada CVE se le asigna un nombre único bajo un programa financiado por el gobierno federal y administrado por la MITRE Corporation. Cualquier nueva vulnerabilidad que se descubra puede ser reportada a una Autoridad de Numeración de CVE (CNA) que ayude a administrar el programa. Luego, esos datos se comparten ampliamente con los proveedores de ciberseguridad que utilizan esa información para alertar a los clientes y, si está disponible, ayudar a mitigar la causa raíz del problema.

Sin embargo, existen otros enfoques para el seguimiento de los CVEs. Por ejemplo, se ha formado una Fundación CVE sin fines de lucro para promover un enfoque alternativo para gestionar este proceso. Los miembros del consejo de administración de la Fundación CVE hasta ahora incluyen a profesionales de ciberseguridad de diversas empresas tecnológicas, así como de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y del Instituto Nacional de Estándares y Tecnología (NIST).

No está claro hasta qué punto el gobierno de EE. UU. apoyará esta iniciativa, pero otros gobiernos de todo el mundo han estado claramente preocupados por cómo se está gestionando el proceso de CVE. Por ejemplo, el año pasado la Unión Europea (UE) estableció la Agencia de Ciberseguridad de la Unión Europea (ENISA) para administrar la Base de Datos de Vulnerabilidades de la Unión Europea (EUVD). Similar a la National Vulnerability Database (NVD) establecida por los EE. UU., la EUVD organiza los problemas de vulnerabilidad según su ID único asignado por el CVE, documenta su impacto y proporciona enlaces a avisos y parches.

Potencial para un cambio en el enfoque hacia los CVE

Puede pasar un tiempo antes de que se alcance algún tipo de consenso sobre la mejor manera de gestionar la presentación de informes de CVE, pero cuando todo esté dicho y hecho, puede haber una oportunidad de mejora. Muchos investigadores de ciberseguridad están ahora incentivados a descubrir posibles vulnerabilidades que pueden no ser especialmente críticas. De hecho, no es raro que las calificaciones de gravedad asociadas a las CVE sean objeto de acaloradas disputas en una era en la que los investigadores de ciberseguridad compiten entre sí para descubrir la próxima gran amenaza.

Las clasificaciones de gravedad de las CVE también son motivo de controversia entre los equipos de ciberseguridad y los equipos de desarrollo de aplicaciones. A muchos desarrolladores de aplicaciones les molesta tener que rastrear vulnerabilidades solo para descubrir que son accesibles en raras ocasiones. La mayoría de los desarrolladores solo pueden dedicar una cantidad limitada de tiempo al mes a crear correcciones para las aplicaciones existentes, por lo que cuando esos esfuerzos se desperdician, tienden a prestar aún menos atención a las alertas.

Con el tiempo, los avances en inteligencia artificial facilitarán no solo el descubrimiento de vulnerabilidades, sino también su remediación al proporcionar fragmentos de código que se pueden aplicar fácilmente sin comprometer una aplicación.

Mientras tanto, no obstante, los equipos de ciberseguridad deben prestar más atención a cómo se gestiona el proceso de CVE. Identificar amenazas basándose en las clasificaciones de gravedad vinculadas al seguimiento de CVE no es suficiente. Un análisis de 110 millones de alertas de seguridad realizado por OX Seguridad, por ejemplo, reveló que solo entre el 2 % y el 5 % requieren una acción inmediata, y más del 95 % se consideran informativas. Eso no significa que se deban ignorar las alertas, pero sí deja claro que deben evaluarse detenidamente antes de que los equipos de ciberseguridad decidan activar cualquier proverbial alarma de incendio.