La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado una nueva guía sobre la Categorización de vulnerabilidades específicas de las partes interesadas (SSVC).
Esta metodología de gestión de vulnerabilidades está diseñada para evaluar vulnerabilidades y priorizar los esfuerzos de remediación según el estado de explotación, los impactos en la seguridad y la prevalencia del producto afectado en un sistema singular.
SSVC fue creado por primera vez por CISA en colaboración con el Instituto de Ingeniería de Software (SEI) de la Universidad Carnegie Mellon en 2019.
En 2020 CISA trabajó con SEI para desarrollar su árbol de decisiones SSVC personalizado para examinar las vulnerabilidades relevantes para el gobierno de los Estados Unidos (USG) así como para los gobiernos estatales, locales, tribales, territoriales (SLTT) y las entidades de infraestructura crítica.
Según la última iteración de SSVC su nueva implementación ha permitido a CISA priorizar mejor su respuesta de vulnerabilidad y mensajes de vulnerabilidad al público.
Al escribir sobre la nueva guía el subdirector ejecutivo de CISA, Eric Goldstein dijo que las organizaciones de todos los tamaños enfrentan el desafío de administrar la cantidad y la complejidad de las nuevas vulnerabilidades.
“Las organizaciones con programas maduros de gestión de vulnerabilidades buscan formas más eficientes de clasificar y priorizar los esfuerzos. Las organizaciones más pequeñas luchan por comprender por dónde empezar y cómo asignar recursos limitados”, escribió Goldstein en una publicación de blog.
“Afortunadamente, existe un camino hacia una gestión de vulnerabilidades priorizada, automatizada y más eficiente”, agregó el experto en seguridad.
Goldstein explicó que las organizaciones ahora pueden usar la guía de árbol de decisiones SSVC personalizada de CISA para priorizar una vulnerabilidad conocida en función de la evaluación de cinco puntos de decisión: estado de explotación, impacto técnico, automatizabilidad, prevalencia de la misión eh impacto en el bienestar público.
“Según suposiciones razonables para cada punto de decisión una vulnerabilidad se clasificará como Seguimiento, Seguimiento*, Asistencia o Actuación. Se puede encontrar una descripción de cada decisión y valor en la nueva página web SSVC de CISA “, concluyó Goldstein.
Las nuevas pautas llegan semanas después de que CISA emitiera un informe separado que describe los objetivos de rendimiento de seguridad cibernética (CPG) de referencia para todos los sectores de infraestructura crítica.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.