Más allá de la gestión de vulnerabilidad: ¿puedes cVE lo que tengo?

La cinta de valer de vulnerabilidad

La naturaleza reactiva de la trámite de vulnerabilidad, combinada con retrasos de la política y el proceso, se siente a los equipos de seguridad. La capacidad es limitada y reparar todo de inmediato es una lucha. Nuestro estudio de conjunto de datos de Operación de Vulnerabilidad (VOC) identificó 1,337,797 hallazgos únicos (problemas de seguridad) en 68,500 activos únicos de clientes. 32,585 de ellos eran CVE distintos, con 10,014 que tenían una puntuación CVSS de 8 o más. Entre estos, los activos externos tienen 11,605 CVE distintos, mientras que los activos internos tienen 31,966. Con este tamaño de CVE, no es sorprendente que algunos no se parezcan y conduzcan a compromisos.

¿Por qué estamos atrapados en esta situación, qué se puede hacer y hay un mejor enfoque por ahí?

Exploraremos el estado de los informes de vulnerabilidad, cómo priorizar las vulnerabilidades por amenaza y explotación, examinará las probabilidades estadísticas y discutir brevemente el peligro. Por posterior, consideraremos soluciones para minimizar el impacto de la vulnerabilidad al tiempo que brinda a los equipos de trámite flexibilidad en la respuesta de crisis. Esto debería dar una buena impresión, pero si desea la historia completa, puede encontrarla en nuestro documentación anual, el navegador de seguridad.

¿Puedes ver lo que yo cve?

Las naciones y organizaciones occidentales utilizan la enumeración de vulnerabilidad popular (CVE) y el sistema de puntuación de vulnerabilidad popular (CVS) para rastrear y encuadrar vulnerabilidades, supervisadas por programas financiados por el gobierno de los Estados Unidos como Miter y NIST. Para septiembre de 2024, el software CVE, activo durante 25 abriles, había publicado más de 264,000 CVE, y para el 15 de abril de 2025, el número de CVE total aumentó a aproximadamente 290,000 CVE, incluidos «rechazados» o «diferidos».

La pulvínulo de datos de vulnerabilidad doméstico de NIST (NVD) se friso en las autoridades de numeración de CVE (CNA) para registrar CVE con evaluaciones iniciales de CVSS, lo que ayuda a esquilar el proceso, pero todavía introduce sesgos. La divulgación de vulnerabilidades graves se complica por los desacuerdos entre investigadores y proveedores sobre impacto, relevancia y precisión, afectando a la comunidad en militar ^{(1, 2)}.

En abril de 2025, un acumulación de más de 24,000 CVE no enriquecidos acumuló en el NVD ^{(3, 4)} Oportuno a los retrasos burocráticos que ocurrieron en marzo de 2024. Detener temporalmente el lucro de CVE a pesar de los informes de vulnerabilidad continuos e ilustrar dramáticamente la fragilidad de este sistema. La pausa temporal resultó en esta cartera de pedidos que aún no se ha despejado.

El 15 de abril de 2025, Miter anunció que el Sección de Seguridad Doméstico de los Estados Unidos no renovará su anuencia con Miter, impactando el software CVE directamente⁽¹⁵⁾. Esto creó mucha incertidumbre sobre el futuro de los CVE y cómo afectará a los profesionales de ciberseguridad. A Dios gracias, la financiación para el software CVE se extendió adecuado a la musculoso respuesta comunitaria y de la industria⁽¹⁶⁾.

CVE y el NVD no son las únicas fuentes de inteligencia de vulnerabilidad. Muchas organizaciones, incluida la nuestra, desarrollan productos independientes que rastrean muchas más vulnerabilidades que el software CVE de MITER y NIST NVD.

Desde 2009, China ha operado su propia pulvínulo de datos de vulnerabilidad, CNNVD ⁽⁵⁾que podría ser un memorial técnico valioso ^{(6, 7)}aunque las barreras políticas hacen que la colaboración sea poco probable. Por otra parte, no todas las vulnerabilidades se revelan de inmediato, creando puntos ciegos, mientras que algunos se explotan sin detección, sus calificados 0 días.

En 2023, el peña de estudio de amenazas de Google (TAG) y Mandiant identificaron 97 exploits de día cero, que afectan principalmente dispositivos móviles, sistemas operativos, navegadores y otras aplicaciones. Mientras tanto, solo rodeando del 6% de las vulnerabilidades en el diccionario CVE han sido explotadas ⁽⁸⁾y los estudios de 2022 muestran que la porción de las organizaciones parchean solo el 15.5% o menos vulnerabilidades mensualmente ⁽⁹⁾.

Si proporcionadamente CVE es crucial para los gerentes de seguridad, es un sistema imperfecto y voluntario, ni regulado conjuntamente ni acogido internacionalmente.

Este blog todavía tiene como objetivo explorar cómo podríamos resumir la dependencia de él en nuestras operaciones diarias.

Amenaza informada

A pesar de sus deficiencias, el sistema CVE aún proporciona inteligencia valiosa sobre las vulnerabilidades que podrían afectar la seguridad. Sin bloqueo, con tantos CVE para chocar, debemos priorizar a los que tienen más probabilidades de ser explotados por actores de amenazas.

El Sistema de puntuación de predicción de explotación (EPSS), desarrollado por el Foro de Equipos de Respuesta a Incidentes y Seguridad (Primero) SIG ⁽¹⁰⁾ayuda a predecir la probabilidad de que una vulnerabilidad sea explotada en la naturaleza. Con la inteligencia de EPSS, los gerentes de seguridad pueden priorizar parches a tantos CVE como sea posible para una amplia cobertura o centrarse en vulnerabilidades críticas para maximizar la eficiencia y evitar la explotación. Entreambos enfoques tienen pros y contras.

Para demostrar la compensación entre cobertura y eficiencia, necesitamos dos conjuntos de datos: uno que representa parches potenciales (conjunto de datos VOC) y otro que representa vulnerabilidades explotadas activamente, que incluye CISA KEV ⁽¹⁰⁾Hallazgos de piratería ética y datos de nuestro Servicio de temporalizador de inteligencia de vulnerabilidades CERT ⁽¹²⁾.

El principio de EPSS se usa para decidir un conjunto de CVE para parchear, en función de la probabilidad de que sean explotados en la naturaleza. La superposición entre el conjunto de remediación y el conjunto de vulnerabilidades explotados se puede utilizar para calcular la eficiencia, la cobertura y el esfuerzo de una organización seleccionada.

EPSS predice la probabilidad de que una vulnerabilidad sea explotada en algún circunstancia de la naturaleza, no en ningún sistema específico. Sin bloqueo, las probabilidades pueden «escalera». Por ejemplo, tirar una moneda da un 50% de posibilidades de cabezas, pero tirar 10 monedas aumenta la posibilidad de al menos una cabecera al 99.9%. Esta escalera se calcula utilizando la regla del complemento ⁽¹³⁾que encuentra la probabilidad del resultado deseado restando la posibilidad de falta de 1.

Como primero explica, «EPSS predice la probabilidad de que se explote una vulnerabilidad específica y se puede esquilar para estimar las amenazas entre los servidores, subredes o empresas enteras al calcular la probabilidad de que ocurra al menos un evento».^{(14, 15)}

Con EPSS, podemos calcular de forma similar la probabilidad de que al menos una vulnerabilidad sea explotada desde una inventario mediante el uso de la regla del complemento.

Para demostrar, analizamos 397 vulnerabilidades de los datos de escaneo VOC de un cliente del sector de la delegación pública. Como ilustra el cuadro a continuación, la mayoría de las vulnerabilidades tenían puntajes EPSS bajos hasta un aumento musculoso en la posición 276. Igualmente se muestra en la tabla es la probabilidad ascenso de explotación utilizando la regla del complemento, que alcanza efectivamente el 100% cuando solo se consideran las primeras 264 vulnerabilidades.

Como indica la curva EPSS ascenso (izquierda) en la tabla, como se consideran más CVE, la probabilidad ascenso de que uno de ellos sea explotado en la naturaleza aumenta muy rápidamente. Para el momento en que hay 265 CVE distintos bajo consideración, la probabilidad de que uno de ellos sea explotado en la naturaleza es más del 99%. Este nivel se alcanza antaño de que se consideren vulnerabilidad individual con EPS altos. Cuando el valencia de EPSS escalado cruza el 99% (posición 260), el EPSS mayor aún está por debajo del 11% (0.11).

Este ejemplo, basado en datos reales del cliente sobre vulnerabilidades expuestas a Internet, muestra cuán difícil se vuelve la priorización de las vulnerabilidades a medida que aumenta el número de sistemas.

EPSS ofrece la probabilidad de que una vulnerabilidad sea explotada en la naturaleza, lo cual es útil para los defensores, pero hemos demostrado cuán rápido esta probabilidad escalera cuando están involucradas múltiples vulnerabilidades. Con suficientes vulnerabilidades, existe una probabilidad existente de que uno sea explotado, incluso cuando los puntajes EPSS individuales son bajos.

Como un pronóstico del tiempo que predice una «posibilidad de calabobos», cuanto más noble sea el radio, decano será la probabilidad de calabobos en algún circunstancia. Del mismo modo, es probable que sea increíble resumir la probabilidad de explotación aún más cerca de cero.

Probabilidades del atacante

Hemos identificado tres verdades críticas que deben integrarse en nuestro examen del proceso de trámite de vulnerabilidades:

• Los atacantes no se centran en vulnerabilidades específicas; Su objetivo es comprometer los sistemas.
• Explotar las vulnerabilidades no es el único camino en torno a el compromiso.
• La astucia de los atacantes y los niveles de persistencia varían.

Estos factores nos permiten extender nuestro estudio de EPSS y probabilidades para considerar la probabilidad de que un atacante comprometa algún sistema gratuito, luego escalarlo para determinar la probabilidad de comprometer algún sistema internamente de una red que otorga comunicación al resto.

Podemos suponer que cada hacker tiene una cierta «probabilidad» de comprometer un sistema, con esta probabilidad aumentando en función de su astucia, experiencia, herramientas y tiempo. Luego podemos continuar aplicando la escalera de probabilidad para evaluar el éxito del atacante contra un entorno informático más amplio.

Regalado un paciente y un hacker no detectado, ¿cuántos intentos se requieren estadísticamente para violar un sistema que otorga comunicación al claro? Replicar esto requiere aplicar una distribución binomial reelaborada en forma de esta ecuación ^{(16, 17)}:

Usando esta ecuación, podemos estimar cuántos intentos necesitaría un atacante de cierto nivel de astucia. Por ejemplo, si el atacante A1 tiene una tasa de éxito del 5% (1 en 20) por sistema, necesitarían apuntar hasta 180 sistemas para estar 99.99% seguros de éxito.

Otro atacante, A2, con una tasa de éxito del 10% (1 en 10), necesitaría rodeando de 88 objetivos para avalar al menos un éxito, mientras que un atacante más hábil, A3, con una tasa de éxito del 20% (1 en 5), solo necesitaría rodeando de 42 objetivos para la misma probabilidad.

Estas son probabilidades: un atacante podría tener éxito en el primer intento o requerir múltiples intentos para alcanzar la tasa de éxito esperada. Para evaluar el impacto del mundo existente, encuestamos a los evaluadores de penetración senior en nuestro negocio, quienes estimaron su tasa de éxito contra los objetivos arbitrarios conectados a Internet para ser de rodeando del 30%.

Suponiendo que un atacante entendido tenga un 5% a 40% de posibilidades de comprometer una sola máquina, ahora podemos estimar cuántos objetivos se necesitarían para casi avalar un compromiso exitoso.

Las implicaciones son sorprendentes: con solo 100 objetivos potenciales, incluso un atacante moderadamente calificado es casi seguro que tendrá éxito al menos una vez. En una empresa típica, este único compromiso a menudo proporciona comunicación a la red más amplia, y las empresas generalmente tienen miles de computadoras a considerar.

Reinvención de trámite de vulnerabilidades

Para el futuro, necesitamos concebir un entorno y una obra que sea inmune al compromiso de un sistema individual. A corto plazo, argumentamos que nuestro enfoque para la trámite de vulnerabilidad debe cambiar.

El enfoque contemporáneo de la trámite de vulnerabilidad se friso en su nombre: centrarse en «vulnerabilidades» (según lo definido por CVE, CVSS, EPSS, configuración errónea, errores, etc.) y su «trámite». Sin bloqueo, no tenemos control sobre el tamaño, la velocidad o la importancia de los CVE, lo que nos lleva a reaccionar constantemente delante la nueva inteligencia caótica.

EPSS nos ayuda a priorizar vulnerabilidades que probablemente sean explotadas en la naturaleza, lo que representa amenazas reales, lo que nos obliga a un modo reactivo. Si proporcionadamente la mitigación aborda las vulnerabilidades, nuestra respuesta es en realidad sobre las amenazas de contrarrestar, por lo tanto, este proceso debe llamarse mitigación de amenazas.

Como se discutió anteriormente, es estadísticamente increíble contrarrestar las amenazas de forma efectiva en grandes empresas simplemente reaccionando a la inteligencia de vulnerabilidad. La reducción de riesgos es lo mejor que podemos hacer. El peligro cibernético resulta de una amenaza dirigida a los activos de un sistema, aprovechando las vulnerabilidades y el impacto potencial de tal ataque. Al chocar el peligro, abrimos más áreas bajo nuestro control para llevar la batuta y mitigar.

Mitigación de amenazas

La mitigación de amenazas es un proceso dinámico y continuo que implica identificar amenazas, evaluar su relevancia y tomar medidas para mitigarlas. Esta respuesta puede incluir parcheo, reconfiguración, filtrado, agregando controles de compensación o incluso eliminar sistemas vulnerables. EPSS es una aparejo valiosa que complementa otras fuentes de inteligencia de amenazas e vulnerabilidad.

Sin bloqueo, la naturaleza de escalera de las probabilidades hace que EPSS sea menos útil en grandes entornos internos. Regalado que EPSS se centra en las vulnerabilidades que probablemente se exploten «en la naturaleza», es más aplicable a los sistemas directamente expuestos a Internet. Por lo tanto, los esfuerzos de mitigación de amenazas deben dirigirse principalmente a los sistemas expuestos externamente.

Reducción de riesgos

El peligro cibernético es un producto de amenaza, vulnerabilidad e impacto. Si proporcionadamente la «amenaza» está en gran medida más allá de nuestro control, el parche de vulnerabilidades específicas en entornos grandes no reduce significativamente el peligro de compromiso. Por lo tanto, la reducción del peligro debe centrarse en tres esfuerzos esencia:

1. Reducción de la superficie de ataque: A medida que la probabilidad de compromiso aumenta con la escalera, puede reducirse al resumir la superficie de ataque. Una prioridad esencia es identificar y eliminar sistemas de orientación a Internet no administrados o innecesarios.
2. Impedir el impacto: La ley de Lambert aconseja demarcar la capacidad de los atacantes para alcanzar y atravesar el «claro». Esto se logra a través de la segmentación en todos los niveles: red, permisos, aplicaciones y datos. La obra Zero Trust proporciona un maniquí de remisión práctico para este objetivo.
3. Prosperidad de la tendencia de pulvínulo: En circunstancia de centrarse en vulnerabilidades específicas como se informan o descubren, reduciendo sistemáticamente el número militar y la importancia de las vulnerabilidades reduce el peligro de compromiso. Este enfoque prioriza la eficiencia y el retorno de la inversión, ignorando las amenazas agudas actuales a amparo de la reducción del peligro a derrochador plazo.

Al separar la mitigación de amenazas de la reducción del peligro, podemos liberarnos del ciclo constante de reaccionar a amenazas específicas y centrarnos en enfoques estratégicos más eficientes, liberar posibles para otras prioridades.

Un enfoque efectivo

Este enfoque se puede seguir sistemáticamente para optimizar los posibles. El enfoque cambia de «llevar la batuta vulnerabilidades» a diseñar, implementar y validar arquitecturas resilientes y configuraciones de remisión. Una vez que estas líneas de pulvínulo están establecidas por seguridad, puede hacerse cargo de su implementación y mantenimiento.

La esencia aquí es que el «desencadenante» para parchear los sistemas internos es un plan predefinido, de acuerdo con los propietarios del sistema, refrescar a una nueva tendencia de pulvínulo aprobada. Este enfoque seguramente será mucho menos perjudicial y más efectivo que perseguir constantemente las últimas vulnerabilidades.

El escaneo de vulnerabilidad sigue siendo importante para crear un inventario de activos preciso e identificar sistemas no conformes. Puede hospedar procesos estandarizados existentes, en circunstancia de activarlos.

Dando forma al futuro

El afluencia abrumador de vulnerabilidades descubiertas e informadas al azar representada por CVE, CVSS y EPSS está enfatizando a nuestra gentío, procesos y tecnología. Nos hemos acercado efectivamente a la trámite de vulnerabilidad de la misma forma durante más de dos décadas, con un éxito moderado.

Es hora de reinventar cómo diseñamos, construimos y mantenemos sistemas.

Hay más en esto. Esto es solo un extracto de nuestra cobertura de vulnerabilidades en el Navegador de Seguridad 2025. Para obtener más información sobre cómo podemos recuperar el control, cómo las diferentes industrias se comparan en nuestras operaciones de detección de vulnerabilidades y cómo factores como la seguridad cibernética generativa de impacto de IA ¡Recomiendo que se dirigiera calurosamente a la página de descarga y obtenga el documentación completo!

Nota: Este artículo fue escrito por expertos y contribuido por Wicus Ross, investigador de seguridad senior de Orange CyberDefense.