Priorización de Vulnerabilidades: Más Allá de las Puntuaciones CVSS

Por qué CVSS por sí solo falla

CVSS mide la gravedad intrínseca de una vulnerabilidad: qué tan grave podría ser en el peor de los casos. No mide la probabilidad de explotación, si existe un exploit público, qué hace el activo afectado o si los controles compensatorios reducen el riesgo. Una vulnerabilidad CVSS 9.8 sin exploit público en un sistema de uso interno es menos urgente que una vulnerabilidad CVSS 7.5 con un kit de exploit activo dirigido a sistemas de pago expuestos a Internet.

EPSS: Sistema de Puntuación de Predicción de Exploits

EPSS predice la probabilidad de que una vulnerabilidad sea explotada en la naturaleza en los próximos 30 días, basándose en datos de explotación del mundo real. Una puntuación EPSS de 0.97 significa un 97% de probabilidad de explotación. Combinado con CVSS, EPSS ayuda a distinguir entre la gravedad teórica y el riesgo práctico. Los CVE con CVSS alto pero EPSS bajo a menudo pueden ser despriorizados. Los CVE con CVSS moderado pero EPSS alto deben acelerarse.

SSVC: Categorización de Vulnerabilidades Específica para las Partes Interesadas

SSVC, desarrollado por CISA y Carnegie Mellon, reemplaza las puntuaciones numéricas con árboles de decisión. Evalúa el estado de la explotación (ninguno, PoC, activo), el impacto técnico (parcial, total), la prevalencia de la misión (mínima, soporte, esencial) y produce una acción recomendada: Track, Track*, Attend o Act. SSVC produce resultados más procesables que las puntuaciones numéricas.

Priorización Contextual

La priorización más eficaz añade su contexto empresarial específico: ¿qué hace el sistema afectado? ¿Qué datos contiene? ¿Está expuesto a Internet o es solo interno? ¿Existen controles compensatorios? ¿Cuál es el radio de explosión si se ve comprometido? Este análisis contextual es donde las pruebas manuales de expertos de Penetrify añaden más valor: los testers evalúan los hallazgos en el contexto de su entorno específico, produciendo calificaciones de gravedad que reflejan el riesgo empresarial real en lugar de puntuaciones teóricas.

Un Flujo de Trabajo de Priorización Práctico

Paso 1: Filtre por EPSS > 0.1 (vulnerabilidades con una probabilidad de explotación significativa). Paso 2: Clasifique por criticidad del activo (expuesto a Internet, datos confidenciales, generador de ingresos). Paso 3: Compruebe los controles compensatorios que reducen el riesgo efectivo. Paso 4: Aplique el árbol de decisión SSVC para la acción recomendada. Paso 5: Asigne plazos de remediación basados en la prioridad resultante. Este flujo de trabajo reduce sus 847 hallazgos a los 30–50 que realmente exigen atención inmediata.