El sistema EPPS y la importancia de la gestión de vulnerabilidades

El reciente Informe Anual de Amenazas de Enisa 2023 señala que se han detectado un total de 13.650 vulnerabilidades en los sistemas informáticos usados desde principios de julio de 2022 hasta finales de junio de 2023. De este total, un 19,57 % de estos incidentes se clasificaron como críticos.

Esta cifra resulta aún más preocupante si se compara con los datos recogidos en 2019, que establecen un total de 894 vulnerabilidades en todo el año. Esta situación se debe sobre todoal uso masivo de dispositivos conectados con internet o con otros dispositivos que se da en la actualidad.

Muchos usuarios no muestran preocupación sobre los posibles incidentes de ciberseguridad que se pueden dar cuando realizan operaciones online y esto crea muchas situaciones de vulnerabilidad.

Otro de los grandes motivos para preocuparse por este escenario es la existencia de hackers dedicados a explotar estas debilidades de los sistemas informáticos. Del total de las vulnerabilidades detectadas en el informe antes mencionado, un total de 100 han sido usadas de manera continua por ciberdelincuentes en su propio beneficio.

Estos incidentes de seguridad han pasado a engrosar la lista de Vulnerabilidades Explotadas (KEV) elaborada por CISA.

Indicadores para establecer la gravedad de una vulnerabilidad

Uno de los criterios más usados para establecer la gravedad de los incidentes de seguridad es el conocido por las siglas CVSS, que corresponde al término Common Vulnerability Scoring System (Sistema Común de Puntuación de Vulnerabilidad). La idea de este indicador es estandarizar el análisis del impacto que puedan tener los problemas de ciberseguridad identificados en el ecosistema digital actual.

Como sistema complementario de evaluación surgió en 2019 el EPSS o Exploit Prediction Scoring System (Sistema de Puntuación de Predicción de Explotación). Este indicador establece la posibilidad de que una vulnerabilidad sea usada de manera consciente por hackers en los próximos 30 días después de su detección. Así se establece la prioridad para solucionar estos problemasy evitar que sea usado por los ciberdelincuentes.

El EPSS ha sido difundido por el FIRST o Forum of Incident Response and Security Teams (Foro de Respuestas a Incidentes y Equipos de Seguridad). Este sistema usa la inteligencia artificial y el aprendizaje automático para recoger datos y establecer patrones que permitan predecir la posible explotación de una vulnerabilidad asignando un coeficiente entre 0 y 1, siendo el 1 el 100 % de probabilidad.

Cómo funciona el EPPS

Este sistema usa los valores SHAP, acrónimo de SHapley Additive exPlanations (Explicación de los Aditivos de Shapley), que es un algoritmo que sirve para interpretar modelos de machine learning y establecer predicciones. Este sistema ayuda a interpretar ciertas características de las vulnerabilidades para determinar su explotabilidad. Para ello toma en cuenta los siguientes datos:

Popularidad del proveedor del CPE

El término CPE se corresponde con las siglas de Costumer Premises Equipment (Equipo de las Instalaciones del Cliente). Hace referencia a los sistemas informáticos conformados por el software y el hardware proporcionados por determinadas empresas. Si el proveedor tiene más alcance dentro del mercado, entonces hay más probabilidad de que las vulnerabilidades detectadas en sus sistemas sean explotadas.

Vectores CVSS

El sistema CVSS y el EPSS se complementan mutuamente. Por eso, también interviene como métrica para determinar el posible uso consciente de un incidente de seguridad.

Presencia del código en repositorios públicos

Si el código de explotación se puede obtener de repositorios populares como ExploitDB o GitHub, entonces es más probable que sea aprovechado por los ciberdelincuentes.

Descripciones de CVE en etiquetas textuales

Existe un glosario público donde se recogen las CVE o Common Vulnerabilities and Exposures (Vulneradidades y Exposiciones Comunes) donde se pueden consultar las características del incidente de seguridad que se ha producido y son clasificadas por un número de identificación. También se pueden incluir etiquetas de texto para añadir información adicional. Cuantos más datos se tenga sobre una vulnerabilidad, más probabilidad hay de que sea explotada.

Tiempo desde la publicación de CVE

Los ciberdelincuentes cuando detectan una vulnerabilidad intentan aprovecharla lo antes posible para evitar la aplicación de los parches que se diseñarán para solucionar los problemas. Por eso, cuanto menos tiempo pase desde la aparición del CVE, será más probable que la vulnerabilidad sea utilizada por hackers.

Mayor cantidad de referencias CVE

Si se producen diversas entradas de en un incidente de seguridad en el glosario de CVE, el interés de los ciberdelincuentes será mayor y por tantos hay más posibilidad de que la vulnerabilidad sea explotada.

Además de estos datos, el sistema EPSS tiene en cuenta estos dos indicadores que lo evalúan de manera objetiva:

Nivel de eficiencia

Sirve para conocer si el sistema realmente funciona. Si según el EPSS se priorizan 100 vulnerabilidades por su posibilidad de ser explotada, pero luego solo 10 realmente son usadas, entonces la eficiencia es del 10 %. Si el coeficiente es mayor, entonces se producirán menos falsos positivos.

Cobertura ofrecida

Es la capacidad de detectar las vulnerabilidades explotadas por el sistema EPSS. Si de 100 incidentes realmente usados por los delincuentes, 90 han sido detectadas mediante este método se tiene una cobertura del 90%. Cuanto mayor sea el indicador mayor es la protección del ecosistema digital.

Ventajas del uso del sistema EPSS

El sistema EPSS cuenta con interesantes beneficios:

Consigue que los recursos se usen de manera más eficiente

Se da prioridad a las vulnerabilidades que pueden ser explotadas, causando así más perjuicio a la ciberseguridad. Los costes son más ajustados y se usan los medios disponibles de manera más organizada.

Ayuda a una toma de decisiones más efectiva

El EPSS ayuda a establecer cuál es el nivel de cumplimiento de objetivos de seguridad en un sistema informático. Esto permite que se determinen las acciones por parte de los proveedores para garantizar un funcionamiento efectivo para sus clientes.

Las empresas tienen una actitud más consciente ante la ciberseguridad

Este método determina la probabilidad de que se produzca un peligro real y crítico, por lo que los proveedores se mostrarán más proactivos para garantizar la satisfacción de sus clientes. Se tomarán medidas preventivas para que no se produzca la vulnerabilidad.

El sistema EPSS se puede aplicar mediante una API que cuenta con un sistema de notificaciones para señalar las posibles amenazas. Estas predicciones son una gran ayuda para evitar las acciones de los ciberdelincuentes.