• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Europa y el descubrimiento coordinado de vulnerabilidades

Europa y el descubrimiento coordinado de vulnerabilidades

10 septiembre, 2021 Por Ana Nieto Deja un comentario

¿Qué es una política CVD (Coordinated Vulnerability Disclosure)? ¿Por qué interesa a Europa y cuál es el grado de madurez en la definición/adopción de las mismas en los países miembros? Este post se dirige a informar sobre estas preguntas, incluyendo un pequeño resumen a modo de tabla sobre el último punto.

La coordinación durante el descubrimiento de vulnerabilidades es esencial para la ciberseguridad, ya que una buena política de notificación y gestión ahorra tiempo que puede invertirse en proteger nuestros sistemas. Estas políticas CVD permiten a su vez mantener la buena harmonía entre los diferentes interesados en todo el proceso.

ENISA cuenta con varios documentos donde se detalla en qué consisten las políticas CVD y cuáles serían los actores involucrados. De entre ellos, el documento de buenas prácticas que data de 2015 nos proporciona una visión bastante amplia sobre todo el flujo de procesos y los requisitos durante el descubrimiento de vulnerabilidades, procesos que pueden comprender varias fuentes de información.

Pasos más destacados durante el descubrimiento de vulnerabilidades de seguridad. Fuente: ENISA

Una buena política de CVD debe adecuarse al contexto para el cual es definida, combinando adecuadamente los procesos y herramientas involucrados durante el proceso de descubrimiento de las vulnerabilidades así como las diferentes técnicas y expertos. Por ejemplo, las metodologías de bug bounty también se incluyen como parte de las técnicas que pueden contribuir a la política de CVD. No obstante, para que estos procesos sean efectivos las soluciones actuales para recopilar, clasificar y cuantificar el riesgo de las vulnerabilidades tienen que ser conocidas y comprendidas igualmente por los expertos del sector.

Pese a que, como se indica, el documento de ENISA tiene ya varios años (así como otros), la adopción de políticas CVD como parte de una estrategia de ciberseguridad común no es a día de hoy una realidad en muchos países. El CEPS realizó un estudio en 2018 sobre el estado de el descubrimiento de vulnerabilidades en Europa, del que se desprende que varios países no tenían por entonces estrategias de ciberseguridad que contemplasen de forma activa políticas CVD.

Tres años después el escenario ha variado favorablemente, como muestra la tabla siguiente, realizada por Rafael López Gómez, alumno en prácticas de la Universidad de Málaga. Sin embargo, aún hay países europeos sin una estrategia clara en materia de ciberseguridad nacional, y esto probablemente dificultará una puesta en común en esta materia.

País20182021
AustriaEn progresoSí
BélgicaEn progresoSí
BulgariaNoNo
CroaciaNoNo
ChipreNoNo
República ChecaNoSí
DinamarcaNoSin mención explícita en su estrategia nacional de ciberseguridad 2018-2021
EstoniaNoSí
FinlandiaNoNo
Macedonia del NorteEn progresoSí
FranciaSíSí
AlemaniaEn progresoSí
GreciaNoEstrategia nacional de ciberseguridad de 2020, en griego
HungríaNoEstrategia nacional de ciberseguridad de 2018, en húngaro
IrlandaNoSin mención explícita en su estrategia nacional de ciberseguridad 2019-2022
ItaliaEn progresoEn progreso
LetoniaEn progreso Estrategia nacional de ciberseguridad 2019-2022, en letón
LituaniaEn progresoSí
LuxemburgoEn progresoSí
MaltaNoNo
Países BajosSí Sí
PoloniaNoNo
RumaníaNoNo
EslovaquiaNoSí
EsloveniaEn progresoEn progreso
EspañaNoSí
SueciaNoNo
Suiza [Externo UE]NoNo
Reino Unido [Externo UE]En progreso Sí
Evolución de las políticas CSV – Europa, Suiza y Reino Unido

Mientras que las políticas CVD definen grosso modo el marco general, las reglas del juego, actores, etc., por detrás están también las tecnologías y condicionantes específicos que pueden acabar afectando a las políticas en última instancia.

Es interesante por ejemplo conocer que los entornos industriales tienen sus propias características que requieren la adaptación de las métricas que se emplean para clasificar las vulnerabilidades, como detalla el artículo de INCIBE al respecto. Disponer de un marco común en materia de políticas CVD contemplando las necesidades de los diferentes sectores tal vez podría contribuir a mejorar la cooperación en este ámbito entre países de la unión, algunos de los cuales parecen alejados de intuir la importancia de este tipo de materias.

Si aplicamos el símil de los eslabones de la cadena a Europa (una cadena es tan fuerte como lo sean cada uno de sus eslabones) igual nos queda aún mucho camino por recorrer.

Más información:

Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations. ENISA. January 2016. https://www.enisa.europa.eu/publications/vulnerability-disclosure

Economics of Vulnerability Disclosure. ENISA. Diciembre 2018. https://www.enisa.europa.eu/publications/economics-of-vulnerability-disclosure

State of Vulnerabilities 2018/2019. Analysis of Events in the life of Vulnerabilities. ENISA. January2019. https://www.enisa.europa.eu/publications/technical-reports-on-cybersecurity-situation-the-state-of-c yber-security-vulnerabilities/

Software Vulnerability Disclosure in Europe: Technology, Policies and Legal Challenges. Report of a CEPS Task Force. June 2018. https://www.ceps.eu/wp-content/uploads/2018/06/CEPS%20TFRonSVD%20with%20cover_0.pdf

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Arduino para Hackers

Open Source INTelligence (OSINT)

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco afectada por ransomware Yanluowang

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021
  • DigitalOcean se deshace de Mailchimp tras el ataque que sufrieron
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...