• Tweet

La semana pasada se ha anunciado que un grupo ha desarrollado en los últimos 6 meses un sistema para determinar el grado de severidad en las fallas del software. Esta propuesta ayudará a los vendedores, organizaciones e investigaciones de seguridad a realizar pruebas más extensas sobre los productos.

El CVSS (Common Vulnerability Scoring System) está diseñado para evaluar las vulnerabilidades de los sistemas que los vendedores desarrollan. El sistema estandarizado fue comisionado en Enero por la Infraestructura Nacional de Consejo Consultivo, un grupo de 30 compañías que asesoran al presidente Bush.

Los participantes involucrados en el desarrollo de CVSS incluyen a Cisco System Inc., Internet Security System Inc., Qualys Inc. y el CERT Coordination Center de la Universidad de Carnegie Mellon. El estándar está siendo manejado por el FIRST (Forum of Incident Response and Security Teams).

Mike Caudill, presidente de FIRST y uno de los miembros del equipo de seguridad de Cisco, dijo que el desarrollo del CVSS es "un intento para poner orden del caos", esto actualmente existe alrededor de la severidad de las vulnerabilidades. La estandarización busca brindar ayuda a los administradores de TI para priorizar mejor sus respuestas ante las fallas del software y para que se den una mejor idea de los riesgos de seguridad de sus compañías, dijo Caudill.

El sistema usa una escala del 1 al 10 para determinar la severidad de las vulnerabilidades y permite a los usuarios agregar información específica para sus instalaciones de TI para que lleguen detalles particulares del riesgo.

Cisco ha comenzado a realizar pruebas con CVSS sobre la seguridad Web de sus sitios, Caudill dijo. Y hasta el fin de año, Redwood Shores, los planes de Qualys es comenzar a usar el nuevo sistema para determinar la severidad de las vulnerabilidades como parte de sus servicios de seguridad, dijo Gerhard Eschelbeck, jefe del departamento de tecnología de la compañía.

Pero algunos detalles deben ser resueltos antes de que el CVSS este listo para ser usado, dijo Jeff Havrilla, lider del equipo de vulnerabilidades del CERT. Aún se necesitan realizar acuerdos generales sobre todos los atributos que deben ser considerados cuando determinen la severidad de la falla y sobre la semántica para describir los atributos, Havrilla dijo. Agregó que las herramientas son necesitadas para automatizar los procesos.

El sistema también requiere de soporte de otros buenos vendedores de software, incluyendo Microsoft Corp. En una declaración enviada por medio de correo electrónico, una vocera de Microsoft dijo que la compañía no tiene planeado adoptar inmediatamente el CVSS.

"Esto es algo del progreso de un trabajo, pero es un esfuerzo increible", dijo Michael Gavin, un analista de Forrester Research Inc.