Más allá de la gestión de vulnerabilidad: ¿puedes cVE lo que tengo?

La cinta de pasar de vulnerabilidad

La naturaleza reactiva de la trámite de vulnerabilidad, combinada con retrasos de la política y el proceso, se siente a los equipos de seguridad. La capacidad es limitada y reparar todo de inmediato es una lucha. Nuestro exploración de conjunto de datos de Operación de Vulnerabilidad (VOC) identificó 1,337,797 hallazgos únicos (problemas de seguridad) en 68,500 activos únicos de clientes. 32,585 de ellos eran CVE distintos, con 10,014 que tenían una puntuación CVSS de 8 o más. Entre estos, los activos externos tienen 11,605 CVE distintos, mientras que los activos internos tienen 31,966. Con este bombeo de CVE, no es sorprendente que algunos no se parezcan y conduzcan a compromisos.

¿Por qué estamos atrapados en esta situación, qué se puede hacer y hay un mejor enfoque por ahí?

Exploraremos el estado de los informes de vulnerabilidad, cómo priorizar las vulnerabilidades por amenaza y explotación, examinará las probabilidades estadísticas y discutir brevemente el aventura. Por extremo, consideraremos soluciones para minimizar el impacto de la vulnerabilidad al tiempo que brinda a los equipos de trámite flexibilidad en la respuesta de crisis. Esto debería dar una buena impresión, pero si desea la historia completa, puede encontrarla en nuestro mensaje anual, el navegador de seguridad.

¿Puedes ver lo que yo cve?

Las naciones y organizaciones occidentales utilizan la enumeración de vulnerabilidad popular (CVE) y el sistema de puntuación de vulnerabilidad popular (CVS) para rastrear y clasificar vulnerabilidades, supervisadas por programas financiados por el gobierno de los Estados Unidos como Miter y NIST. Para septiembre de 2024, el software CVE, activo durante 25 abriles, había publicado más de 264,000 CVE, y para el 15 de abril de 2025, el número de CVE total aumentó a aproximadamente 290,000 CVE, incluidos “rechazados” o “diferidos”.

La colchoneta de datos de vulnerabilidad doméstico de NIST (NVD) se basamento en las autoridades de numeración de CVE (CNA) para registrar CVE con evaluaciones iniciales de CVSS, lo que ayuda a ascender el proceso, pero asimismo introduce sesgos. La divulgación de vulnerabilidades graves se complica por los desacuerdos entre investigadores y proveedores sobre impacto, relevancia y precisión, afectando a la comunidad en común ^{(1, 2)}.

En abril de 2025, un acumulación de más de 24,000 CVE no enriquecidos acumuló en el NVD ^{(3, 4)} Adecuado a los retrasos burocráticos que ocurrieron en marzo de 2024. Detener temporalmente el beneficio de CVE a pesar de los informes de vulnerabilidad continuos e ilustrar dramáticamente la fragilidad de este sistema. La pausa temporal dio como resultado esta cartera de pedidos que aún no se ha despejado.

El 15 de abril de 2025, Miter anunció que el Área de Seguridad Franquista de los Estados Unidos no renovará su pacto con Miter, impactando el software CVE directamente⁽¹⁵⁾. Esto creó mucha incertidumbre sobre el futuro de los CVE y cómo afectará a los profesionales de ciberseguridad. Gracias a Dios, la financiación para el software CVE se extendió conveniente a la robusto respuesta comunitaria y de la industria⁽¹⁶⁾.

CVE y el NVD no son las únicas fuentes de inteligencia de vulnerabilidad. Muchas organizaciones, incluida la nuestra, desarrollan productos independientes que rastrean muchas más vulnerabilidades que el software CVE de MITER y NIST NVD.

Desde 2009, China ha operado su propia colchoneta de datos de vulnerabilidad, CNNVD ⁽⁵⁾que podría ser un procedimiento técnico valioso ^{(6, 7)}aunque las barreras políticas hacen que la colaboración sea poco probable. Adicionalmente, no todas las vulnerabilidades se revelan de inmediato, creando puntos ciegos, mientras que algunos se explotan sin detección, sus calificados 0 días.

En 2023, el clase de exploración de amenazas de Google (TAG) y Mandiant identificaron 97 exploits de día cero, que afectan principalmente dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones. Mientras tanto, solo más o menos del 6% de las vulnerabilidades en el diccionario CVE han sido explotadas ⁽⁸⁾y los estudios de 2022 muestran que la parte de las organizaciones parchean solo el 15.5% o menos vulnerabilidades mensualmente ⁽⁹⁾.

Si perfectamente CVE es crucial para los gerentes de seguridad, es un sistema imperfecto y voluntario, ni regulado conjuntamente ni recogido mundialmente.

Este blog asimismo tiene como objetivo explorar cómo podríamos compendiar la dependencia de él en nuestras operaciones diarias.

Amenaza informada

A pesar de sus deficiencias, el sistema CVE aún proporciona inteligencia valiosa sobre las vulnerabilidades que podrían afectar la seguridad. Sin secuestro, con tantos CVE para chocar, debemos priorizar a los que tienen más probabilidades de ser explotados por actores de amenazas.

El Sistema de puntuación de predicción de explotación (EPSS), desarrollado por el Foro de Equipos de Respuesta a Incidentes y Seguridad (Primero) SIG ⁽¹⁰⁾ayuda a predecir la probabilidad de que una vulnerabilidad sea explotada en la naturaleza. Con la inteligencia de EPSS, los gerentes de seguridad pueden priorizar parches a tantos CVE como sea posible para una amplia cobertura o centrarse en vulnerabilidades críticas para maximizar la eficiencia y evitar la explotación. Entreambos enfoques tienen pros y contras.

Para demostrar la compensación entre cobertura y eficiencia, necesitamos dos conjuntos de datos: uno que representa parches potenciales (conjunto de datos VOC) y otro que representa vulnerabilidades explotadas activamente, que incluye CISA KEV ⁽¹⁰⁾Hallazgos de piratería ética y datos de nuestro Servicio de cronómetro de inteligencia de vulnerabilidades CERT ⁽¹²⁾.

El umbralado de EPSS se usa para separar un conjunto de CVE para parchear, en función de la probabilidad de que sean explotados en la naturaleza. La superposición entre el conjunto de remediación y el conjunto de vulnerabilidades explotados se puede utilizar para calcular la eficiencia, la cobertura y el esfuerzo de una logística seleccionada.

EPSS predice la probabilidad de que una vulnerabilidad sea explotada en algún ocasión de la naturaleza, no en ningún sistema específico. Sin secuestro, las probabilidades pueden “escalera”. Por ejemplo, derribar una moneda da un 50% de posibilidades de cabezas, pero derribar 10 monedas aumenta la posibilidad de al menos una cabecera al 99.9%. Esta escalera se calcula utilizando la regla del complemento ⁽¹³⁾que encuentra la probabilidad del resultado deseado restando la posibilidad de error de 1.

Como primero explica, “EPSS predice la probabilidad de que se explote una vulnerabilidad específica y se puede ascender para estimar las amenazas entre los servidores, subredes o empresas enteras al calcular la probabilidad de que ocurra al menos un evento”.^{(14, 15)}

Con EPSS, podemos calcular de guisa similar la probabilidad de que al menos una vulnerabilidad sea explotada desde una tira mediante el uso de la regla del complemento.

Para demostrar, analizamos 397 vulnerabilidades de los datos de escaneo VOC de un cliente del sector de la delegación pública. Como ilustra el cuadro a continuación, la mayoría de las vulnerabilidades tenían puntajes EPSS bajos hasta un aumento robusto en la posición 276. Asimismo se muestra en la tabla es la probabilidad subida de explotación utilizando la regla del complemento, que alcanza efectivamente el 100% cuando solo se consideran las primeras 264 vulnerabilidades.

Como indica la curva EPSS subida (izquierda) en la tabla, como se consideran más CVE, la probabilidad subida de que uno de ellos sea explotado en la naturaleza aumenta muy rápidamente. Para el momento en que hay 265 CVE distintos bajo consideración, la probabilidad de que uno de ellos sea explotado en la naturaleza es más del 99%. Este nivel se alcanza ayer de que se consideren vulnerabilidad individual con EPS altos. Cuando el valencia de EPSS escalado cruza el 99% (posición 260), el EPSS mayor aún está por debajo del 11% (0.11).

Este ejemplo, basado en datos reales del cliente sobre vulnerabilidades expuestas a Internet, muestra cuán difícil se vuelve la priorización de las vulnerabilidades a medida que aumenta el número de sistemas.

EPSS ofrece la probabilidad de que una vulnerabilidad sea explotada en la naturaleza, lo cual es útil para los defensores, pero hemos demostrado cuán rápido esta probabilidad escalera cuando están involucradas múltiples vulnerabilidades. Con suficientes vulnerabilidades, existe una probabilidad existente de que uno sea explotado, incluso cuando los puntajes EPSS individuales son bajos.

Como un pronóstico del tiempo que predice una “posibilidad de copia”, cuanto más magnate sea el dominio, longevo será la probabilidad de copia en algún ocasión. Del mismo modo, es probable que sea difícil compendiar la probabilidad de explotación aún más cerca de cero.

Probabilidades del atacante

Hemos identificado tres verdades críticas que deben integrarse en nuestro examen del proceso de trámite de vulnerabilidades:

• Los atacantes no se centran en vulnerabilidades específicas; Su objetivo es comprometer los sistemas.
• Explotar las vulnerabilidades no es el único camino en torno a el compromiso.
• La tiento de los atacantes y los niveles de persistencia varían.

Estos factores nos permiten extender nuestro exploración de EPSS y probabilidades para considerar la probabilidad de que un atacante comprometa algún sistema improcedente, luego escalarlo para determinar la probabilidad de comprometer algún sistema interiormente de una red que otorga comunicación al resto.

Podemos suponer que cada hacker tiene una cierta “probabilidad” de comprometer un sistema, con esta probabilidad aumentando en función de su tiento, experiencia, herramientas y tiempo. Luego podemos continuar aplicando la escalera de probabilidad para evaluar el éxito del atacante contra un entorno informático más amplio.

Donado un paciente y un hacker no detectado, ¿cuántos intentos se requieren estadísticamente para violar un sistema que otorga comunicación al esquema? Objetar esto requiere aplicar una distribución binomial reelaborada en forma de esta ecuación ^{(16, 17)}:

Usando esta ecuación, podemos estimar cuántos intentos necesitaría un atacante de cierto nivel de tiento. Por ejemplo, si el atacante A1 tiene una tasa de éxito del 5% (1 en 20) por sistema, necesitarían apuntar hasta 180 sistemas para estar 99.99% seguros de éxito.

Otro atacante, A2, con una tasa de éxito del 10% (1 en 10), necesitaría más o menos de 88 objetivos para certificar al menos un éxito, mientras que un atacante más hábil, A3, con una tasa de éxito del 20% (1 en 5), solo necesitaría más o menos de 42 objetivos para la misma probabilidad.

Estas son probabilidades: un atacante podría tener éxito en el primer intento o requerir múltiples intentos para alcanzar la tasa de éxito esperada. Para evaluar el impacto del mundo existente, encuestamos a los evaluadores de penetración senior en nuestro negocio, quienes estimaron su tasa de éxito contra los objetivos arbitrarios conectados a Internet para ser de más o menos del 30%.

Suponiendo que un atacante entendido tenga un 5% a 40% de posibilidades de comprometer una sola máquina, ahora podemos estimar cuántos objetivos se necesitarían para casi certificar un compromiso exitoso.

Las implicaciones son sorprendentes: con solo 100 objetivos potenciales, incluso un atacante moderadamente calificado es casi seguro que tendrá éxito al menos una vez. En una empresa típica, este único compromiso a menudo proporciona comunicación a la red más amplia, y las empresas generalmente tienen miles de computadoras a considerar.

Reinvención de trámite de vulnerabilidades

Para el futuro, necesitamos concebir un entorno y una edificio que sea inmune al compromiso de un sistema individual. A corto plazo, argumentamos que nuestro enfoque para la trámite de vulnerabilidad debe cambiar.

El enfoque presente de la trámite de vulnerabilidad se basamento en su nombre: centrarse en “vulnerabilidades” (según lo definido por CVE, CVSS, EPSS, configuración errónea, errores, etc.) y su “trámite”. Sin secuestro, no tenemos control sobre el bombeo, la velocidad o la importancia de los CVE, lo que nos lleva a reaccionar constantemente frente a la nueva inteligencia caótica.

EPSS nos ayuda a priorizar vulnerabilidades que probablemente sean explotadas en la naturaleza, lo que representa amenazas reales, lo que nos obliga a un modo reactivo. Si perfectamente la mitigación aborda las vulnerabilidades, nuestra respuesta es verdaderamente sobre las amenazas de contrarrestar, por lo tanto, este proceso debe llamarse mitigación de amenazas.

Como se discutió anteriormente, es estadísticamente difícil contrarrestar las amenazas de guisa efectiva en grandes empresas simplemente reaccionando a la inteligencia de vulnerabilidad. La reducción de riesgos es lo mejor que podemos hacer. El aventura cibernético resulta de una amenaza dirigida a los activos de un sistema, aprovechando las vulnerabilidades y el impacto potencial de tal ataque. Al chocar el aventura, abrimos más áreas bajo nuestro control para tener la llave de la despensa y mitigar.

Mitigación de amenazas

La mitigación de amenazas es un proceso dinámico y continuo que implica identificar amenazas, evaluar su relevancia y tomar medidas para mitigarlas. Esta respuesta puede incluir parcheo, reconfiguración, filtrado, agregando controles de compensación o incluso eliminar sistemas vulnerables. EPSS es una aparejo valiosa que complementa otras fuentes de inteligencia de amenazas e vulnerabilidad.

Sin secuestro, la naturaleza de escalera de las probabilidades hace que EPSS sea menos útil en grandes entornos internos. Donado que EPSS se centra en las vulnerabilidades que probablemente se exploten “en la naturaleza”, es más aplicable a los sistemas directamente expuestos a Internet. Por lo tanto, los esfuerzos de mitigación de amenazas deben dirigirse principalmente a los sistemas expuestos externamente.

Reducción de riesgos

El aventura cibernético es un producto de amenaza, vulnerabilidad e impacto. Si perfectamente la “amenaza” está en gran medida más allá de nuestro control, el parche de vulnerabilidades específicas en entornos grandes no reduce significativamente el aventura de compromiso. Por lo tanto, la reducción del aventura debe centrarse en tres esfuerzos secreto:

1. Reducción de la superficie de ataque: A medida que la probabilidad de compromiso aumenta con la escalera, puede reducirse al compendiar la superficie de ataque. Una prioridad secreto es identificar y eliminar sistemas de orientación a Internet no administrados o innecesarios.
2. Impedir el impacto: La ley de Lambert aconseja restringir la capacidad de los atacantes para conseguir y atravesar el “esquema”. Esto se logra a través de la segmentación en todos los niveles: red, permisos, aplicaciones y datos. La edificio Zero Trust proporciona un maniquí de remisión práctico para este objetivo.
3. Mejoramiento de la ringlera de colchoneta: En ocasión de centrarse en vulnerabilidades específicas como se informan o descubren, reduciendo sistemáticamente el número común y la agravación de las vulnerabilidades reduce el aventura de compromiso. Este enfoque prioriza la eficiencia y el retorno de la inversión, ignorando las amenazas agudas actuales a valía de la reducción del aventura a dadivoso plazo.

Al separar la mitigación de amenazas de la reducción del aventura, podemos liberarnos del ciclo constante de reaccionar a amenazas específicas y centrarnos en enfoques estratégicos más eficientes, liberar fortuna para otras prioridades.

Un enfoque eficaz

Este enfoque se puede seguir sistemáticamente para optimizar los fortuna. El enfoque cambia de “tener la llave de la despensa vulnerabilidades” a diseñar, implementar y validar arquitecturas resilientes y configuraciones de remisión. Una vez que estas líneas de colchoneta están establecidas por seguridad, puede hacerse cargo de su implementación y mantenimiento.

La secreto aquí es que el “desencadenante” para parchear los sistemas internos es un plan predefinido, de acuerdo con los propietarios del sistema, modernizar a una nueva ringlera de colchoneta aprobada. Este enfoque seguramente será mucho menos perjudicial y más eficaz que perseguir constantemente las últimas vulnerabilidades.

El escaneo de vulnerabilidad sigue siendo importante para crear un inventario de activos preciso e identificar sistemas no conformes. Puede albergar procesos estandarizados existentes, en ocasión de activarlos.

Dando forma al futuro

El desbordamiento abrumador de vulnerabilidades descubiertas e informadas al azar representada por CVE, CVSS y EPSS está enfatizando a nuestra muchedumbre, procesos y tecnología. Nos hemos acercado efectivamente a la trámite de vulnerabilidad de la misma guisa durante más de dos décadas, con un éxito moderado.

Es hora de reinventar cómo diseñamos, construimos y mantenemos sistemas.

Hay más en esto. Esto es solo un extracto de nuestra cobertura de vulnerabilidades en el Navegador de Seguridad 2025. Para obtener más información sobre cómo podemos recuperar el control, cómo las diferentes industrias se comparan en nuestras operaciones de detección de vulnerabilidades y cómo factores como la seguridad cibernética generativa de impacto de IA ¡Recomiendo que se dirigiera calurosamente a la página de descarga y obtenga el mensaje completo!

Nota: Este artículo fue escrito por expertos y contribuido por Wicus Ross, investigador de seguridad senior de Orange CyberDefense.