Ocho siglas relacionadas con las vulnerabilidades (VI): CWRAF

viernes, 8 de agosto de 2014

Continuamos con la serie de entradas relacionadas al ámbito de las vulnerabilidades. MITRE también dispone de la Common Weakness Risk Analysis Framework (CWRAF). Se trata de un conjunto estandarizado de conceptos, prácticas y criterios que permite abordar la valoración de las debilidades de software de la mejor manera posible, a la vez que se adapta a los diversos dominios de negocio.

La iniciativa CWRAF es tan solo una pequeña parte del proyecto de Common Weakness Enumeration (CWE) del MITRE y que al igual que el Common Weakness Scoring System (CWSS), también está patrocinado por el Software Assurance Program de la Oficina de Ciberseguridad y Comunicaciones del U.S. Department of Homeland Security (DHS).

Dentro de los beneficios que esta iniciativa proporciona se encuentran:
  • Ofrece un mecanismo para medir el riesgo de las debilidades, estudiándolas desde el punto de vista de los riesgos que entrañan para la empresa o la misión de la organización.
  • Permite la selección y priorización automática de las debilidades, dependiendo de las necesidades específicas de la organización o su misión.
  • Permite utilizarse en conjunto con el CWSS, con el fin de poder identificar las debilidades más importantes para el dominio de negocio de la organización y que estas puedan ampliar el proceso de Garantía de Software, informando de sus actividades e implementaciones para la protección de las aplicaciones.
  • Permite la posibilidad de crear listas propias y personalizadas, de tipo "Top N" de las debilidades asociadas a aplicaciones y sistemas desarrollados o implementados en su entorno.
En resumen, CWRAF proporciona un medio a clientes, equipos de desarrollo y organizaciones en general para priorizar las debilidades del software que son relevantes dentro de su entorno de negocio. Los usuarios de este framework, pueden fácilmente generar listas de debilidades que afecten a grupos específicos según su enfoque o requisitos. Estas listas pueden ser fácilmente aprovechadas por los distintos dominios de negocio de una organización o incluso por toda una gran empresa para enriquecer sus actividades continuas de mejora y garantizar la producción e implementación de aplicaciones y sistemas más robustos en sus entornos de operaciones. De esta forma, CWRAF puede utilizarse para colaborar con gestión de riesgos en la cadena de suministro (SCRM, Supply chain risk management) o incluso priorizar la formación y educación del personal en base a las necesidades de un sector específico de la empresa o de su totalidad.

Para garantizar la efectividad, este framework admite varios escenarios de uso para distintas partes interesadas. Dentro estas partes definidas por el MITRE, se pueden encontrar desarrolladores y consumidores de software, analistas de código y consultores, investigadores de vulnerabilidades... etc. En general, cualquier otro que comparta los mismos intereses relacionados con las debilidades y sus consecuencias.

Para entender un poco más cómo funciona el CWRAF, observemos la siguiente imagen que nos ofrece el MITRE.

Fuente: http://cwe.mitre.org/cwraf/introduction.html#howtousecwraf

En la parte superior se encuentran los dominios de negocio. Son las distintas categorías, áreas o sectores sobre los que la organización desarrolla o implementa las diversas tecnologías. Estas tecnologías, son agrupadas en grupos tecnológicos y pueden ser compartidas por distintos dominios de negocio. A su vez estos grupos tecnológicos comparten distintos escenarios (representados en la imagen como "Vignettes", siendo estos una pequeña y semi formal descripción de los escenarios) y sobre cada uno de ellos, van asociados un Business Value Context y un Technical Impact Scorecard.

El primero de ellos, sirve como un puente entre las preocupaciones de seguridad que tiene el dominio de negocio y el impacto técnico de las debilidades que pudieran estar presentes en los activos de ese entorno. Este está formado por una descripción de los activos que cada dominio de negocio desea proteger dentro de cada escenario y las prioridades de seguridad asociadas a ellos, junto con los resultados de lo que podría ocurrir si alguno de estos fuera atacado.

El segundo, es una lista de las posibles vulnerabilidades o acciones que pudieran conllevar la explotación de las debilidades presentes en el entorno, asociadas cada una de ellas a la capa en la que podría producirse su explotación. A cada impacto técnico se le asigna una calificación dependiendo de cómo podría afectar el desempeño de la función de negocio definida para ese entorno, y alineada con el Business Value Context.

La manera en que el CWSS refleja la importancia del negocio es mediante el contexto de un entorno, el cual debe definir:
  • Una descripción del sistema o de aplicaciones del entorno que implementan una función de negocios utilizando los distintos grupos tecnológicos.
  • Un Business Value Context, el cual identifique cuales son los principales preocupaciones asociadas a la seguridad de las aplicaciones y sistemas presentes en ese entorno. También debe incluir el daño potencial que podría afectar al negocio si la debilidad llegara a ser explotada por un atacante.
  • Un Technical Impact Scorecard, enumerando todos las acciones posibles que pudieran llevar a cabo un atacante que explotase una debilidad dentro de ese entorno, y la prioridad de estos impactos basados en cómo afectan el desempeño de la función de negocio.
CWRAF, CWE y CWSS

La manera en que CWRAF se integra con CWE y CWSS nos permite obtener una evaluación objetiva en base al dominio de negocio y la función de negocio definida para cada entorno. Para ello observemos la siguiente imagen.

Fuente: http://cwe.mitre.org/cwraf/introduction.html#howtousecwraf


Una vez definido todo el esquema explicado con la primera imagen, el CWRAF proporciona los entornos correctamente definidos con todas las consideraciones anteriormente mencionadas (Descripción, Business Value Context y Technical Impact Scorecard), para que con CWE se definan todas las debilidades listadas en ella que afectan directamente al dominio de negocio. Una vez definido esto, se suministran estos datos obtenidos y los mencionados anteriormente que son obtenidos con el CWRAF (los mismos que se utilizan en el paso anterior), para que con CWSS se realice la valoración de cada una de estas, teniendo en cuenta la valoración de las debilidades utilizando el impacto técnico por parte del CWE y la valoración de las debilidades utilizando el Business Value Context y Technical Impact Scorecard que suministra CWRAF.

Juntando estas dos valoraciones, se realizan los cálculos correspondientes del CWSS y se le aplica un criterio de valoración asociado a la función de negocio de cada uno de los entornos, obteniendo como resultado final una lista de prioridades de las debilidades para cada entorno, identificadas estas con su respectivo CWE-ID. De esta manera se unifican tres de las siglas que hemos explicado en esta serie (CWE, CWSS y CWRAF) para ayudar a mejorar continuamente el desarrollo e implantación de aplicaciones y sistemas en su entorno y contribuir con sus funciones de negocio teniendo en todo momento presente la seguridad.

* Ocho siglas relacionadas con las vulnerabilidades (I): CVE
Ocho siglas relacionadas con las vulnerabilidades (II): CWE y CAPEC
Ocho siglas relacionadas con las vulnerabilidades (III): CVSS
Ocho siglas relacionadas con las vulnerabilidades (IV): CWSS
Ocho siglas relacionadas con las vulnerabilidades (V): CVRF
Umberto Schiavo
umberto.schiavo@11paths.com

1 comentario: