LUK
16-09-2021, 10:59
¿Qué es una política CVD (Coordinated Vulnerability Disclosure)? ¿Por qué interesa a Europa y cuál es el grado de madurez en la definición/adopción de las mismas en los países miembros? Este post se dirige a informar sobre estas preguntas, incluyendo un pequeño resumen a modo de tabla sobre el último punto.
La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.
ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados.
https://i.imgur.com/6XVlH9t.png
De entre ellos, el documento de buenas prácticas (https://www.enisa.europa.eu/publications/vulnerability-disclosure) que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.
https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/05/Screenshot-2021-05-19-at-00.22.35.png?resize=772%2C271&ssl=1
Pasos más destacados durante el descubrimiento de vulnerabilidades de seguridad. Fuente: ENISA (https://www.enisa.europa.eu/publications/vulnerability-disclosure)Una buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.
Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 (https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf) sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.
Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.
País
2018
2021
Austria
En progreso
Sí
Bélgica
En progreso
Sí
Bulgaria
No
No
Croacia
No
No
Chipre
No
No
República Checa
No
Sí
Dinamarca
No
Sin mención explícita en su estrategia nacional de ciberseguridad 2018-2021
Estonia
No
Sí
Finlandia
No
No
Macedonia del Norte
En progreso
Sí
Francia
Sí
Sí
Alemania
En progreso
Sí
Grecia
No
Estrategia nacional de ciberseguridad de 2020, en griego
Hungría
No
Estrategia nacional de ciberseguridad de 2018, en húngaro
Irlanda
No
Sin mención explícita en su estrategia nacional de ciberseguridad 2019-2022
Italia
En progreso
En progreso
Letonia
En progreso
Estrategia nacional de ciberseguridad 2019-2022, en letón
Lituania
En progreso
Sí
Luxemburgo
En progreso
Sí
Malta
No
No
Países Bajos
Sí
Sí
Polonia
No
No
Rumanía
No
No
Eslovaquia
No
Sí
Eslovenia
En progreso
En progreso
España
No
Sí
Suecia
No
No
Suiza [Externo UE]
No
No
Reino Unido [Externo UE]
En progreso
Sí
Evolución de las políticas CSV – Europa, Suiza y Reino UnidoMientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.
Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto (https://www.incibe-cert.es/blog/cvss-industrial-calculos-alternativos-necesidades-diferentes). Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.
Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.
Más información:
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations. ENISA. January 2016. https://www.enisa.europa.eu/publications/vulnerability-disclosure
Economics of Vulnerability Disclosure. ENISA. Diciembre 2018. https://www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure
State of Vulnerabilities 2018/2019. Analysis of Events in the life of Vulnerabilities. ENISA. January2019. https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-situation-the-state-of-c yber-security-vulnerabilities/
Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges. Report of a CEPS Task Force. June 2018. https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf
Coordinated Vulnerability Disclosure: Guidelines published by NCSC: https://www.enisa.europa.eu/news/member-states/coordinated-vulnerability-disclosure-guidelines-published-by-ncsc
Por Ana Nieto en https://unaaldia.hispasec.com/2021/09/europa-y-el-descubrimiento-coordinado-de-vulnerabilidades.html
La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.
ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados.
https://i.imgur.com/6XVlH9t.png
De entre ellos, el documento de buenas prácticas (https://www.enisa.europa.eu/publications/vulnerability-disclosure) que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.
https://i0.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/05/Screenshot-2021-05-19-at-00.22.35.png?resize=772%2C271&ssl=1
Pasos más destacados durante el descubrimiento de vulnerabilidades de seguridad. Fuente: ENISA (https://www.enisa.europa.eu/publications/vulnerability-disclosure)Una buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.
Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 (https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf) sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.
Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.
País
2018
2021
Austria
En progreso
Sí
Bélgica
En progreso
Sí
Bulgaria
No
No
Croacia
No
No
Chipre
No
No
República Checa
No
Sí
Dinamarca
No
Sin mención explícita en su estrategia nacional de ciberseguridad 2018-2021
Estonia
No
Sí
Finlandia
No
No
Macedonia del Norte
En progreso
Sí
Francia
Sí
Sí
Alemania
En progreso
Sí
Grecia
No
Estrategia nacional de ciberseguridad de 2020, en griego
Hungría
No
Estrategia nacional de ciberseguridad de 2018, en húngaro
Irlanda
No
Sin mención explícita en su estrategia nacional de ciberseguridad 2019-2022
Italia
En progreso
En progreso
Letonia
En progreso
Estrategia nacional de ciberseguridad 2019-2022, en letón
Lituania
En progreso
Sí
Luxemburgo
En progreso
Sí
Malta
No
No
Países Bajos
Sí
Sí
Polonia
No
No
Rumanía
No
No
Eslovaquia
No
Sí
Eslovenia
En progreso
En progreso
España
No
Sí
Suecia
No
No
Suiza [Externo UE]
No
No
Reino Unido [Externo UE]
En progreso
Sí
Evolución de las políticas CSV – Europa, Suiza y Reino UnidoMientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.
Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto (https://www.incibe-cert.es/blog/cvss-industrial-calculos-alternativos-necesidades-diferentes). Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.
Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.
Más información:
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations. ENISA. January 2016. https://www.enisa.europa.eu/publications/vulnerability-disclosure
Economics of Vulnerability Disclosure. ENISA. Diciembre 2018. https://www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure
State of Vulnerabilities 2018/2019. Analysis of Events in the life of Vulnerabilities. ENISA. January2019. https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-situation-the-state-of-c yber-security-vulnerabilities/
Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges. Report of a CEPS Task Force. June 2018. https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf
Coordinated Vulnerability Disclosure: Guidelines published by NCSC: https://www.enisa.europa.eu/news/member-states/coordinated-vulnerability-disclosure-guidelines-published-by-ncsc
Por Ana Nieto en https://unaaldia.hispasec.com/2021/09/europa-y-el-descubrimiento-coordinado-de-vulnerabilidades.html