Home Sociedad Las menciones de Twitter son más eficaces que el CVSS, para reducir...

Las menciones de Twitter son más eficaces que el CVSS, para reducir las vulnerabilidades

El seguimiento de las menciones de vulnerabilidades en Twitter, puede ser dos veces más eficaz que las puntuaciones CVSS para ayudar a las organizaciones a priorizar los errores que deben parchearse primero, según un nuevo estudio.

El último informe de Kenna Security, Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability, fue compilado con la ayuda del Cyentia Institute.

En él se confirma lo que muchos expertos en seguridad llevan diciendo desde hace tiempo: el enorme volumen de CVEs descubiertas hoy en día significa que las organizaciones deben mejorar a la hora de priorizar qué vulnerabilidades corregir.

Aunque en 2021 se descubrió una media de 55 bugs diarios, la buena noticia es que solo el 4% suponía un alto riesgo para las organizaciones, según la investigación. Fue más allá, afirmando que el 62% de las vulnerabilidades estudiadas tenían una probabilidad de explotación inferior al 1%, mientras que solo el 5% superaba el 10% de probabilidad.

Para llegar a sus conclusiones, Kenna Security utilizó un Sistema de Puntuación de Predicción de Explotación (EPSS, por sus siglas en inglés) ideado por la industria, que utiliza la información de CVE y los datos de explotación del mundo real para predecir “si las vulnerabilidades serán explotadas en la naturaleza y cuándo”.

No todas las estrategias de gestión de las vulnerabilidades son iguales, afirma el cofundador y director de tecnología de Kenna Security, Ed Bellis.

“Dar prioridad a las vulnerabilidades con código de explotación es 11 veces más eficaz que las puntuaciones CVSS para minimizar la posibilidad de explotación”. Las menciones en Twitter, sorprendentemente, también tienen una relación señal-ruido mucho mejor que el CVSS (unas dos veces mejor)”, escribió.

“También aprendimos que, si se puede elegir, es mucho más eficaz mejorar la priorización de las vulnerabilidades que aumentar la capacidad de remediación … pero haciendo ambas cosas se puede lograr una reducción de 29 veces en la explotabilidad”.

Bellis concluyó que priorizar los fallos a través de la explotabilidad en lugar de las puntuaciones técnicas del CVSS es “la estrategia del futuro” y la que parecen estar adoptando los expertos en seguridad del gobierno estadounidense.