En un esfuerzo por transformar la evaluación de vulnerabilidades y la respuesta a incidentes, Zoom presenta su innovador proyecto de código abierto: el Sistema de Puntuación del Impacto de las Vulnerabilidades, VISS (Vulnerability Impact Scoring System). Desarrollado a lo largo del último año, VISS busca mejorar las medidas de seguridad para un entorno digital más seguro mediante su enfoque revolucionario de puntuación de vulnerabilidades.
A diferencia de los sistemas de scoring tradicionales como el Common Vulnerability Scoring System (CVSS), que se centran en la perspectiva del atacante, VISS adopta una postura diferente al medir el impacto desde la perspectiva del defensor. Complementa el CVSS ofreciendo un sistema de evaluación único que mejora las capacidades de respuesta ante incidentes, basando sus evaluaciones en la exploración demostrable de forma fiable, en lugar de en amenazas teóricas.
VISS ayuda a proteger proactivamente el entorno digital al priorizar las vulnerabilidades más propensas a impactar en la organización. En un momento en el que muchas empresas se enfrentan a la reducción de costes y personal, esta priorización es crucial para enfocar el tiempo y los esfuerzos donde se obtenga el máximo valor.
La anatomía de VISS
VISS analiza vulnerabilidades en 13 aspectos de impacto, clasificados en grupos de plataformas, infraestructuras y datos. Las puntuaciones numéricas resultantes, de 0 a 100, reflejan la gravedad del impacto en un entorno específico. Con métricas de controles compensatorios ajustables, VISS ofrece flexibilidad a los propietarios de entornos para adaptar las puntuaciones según su perfil de riesgo y tolerancia individual.
Centrarse en las vulnerabilidades de mayor gravedad
Con el cambio a VISS, los informes sobre vulnerabilidades han pasado de gravedad baja y media a gravedad alta y crítica. Entre marzo y diciembre de 2023, Zoom experimentó un aumento del 28% en informes de gravedad crítica y del 12% en informes de gravedad alta, junto con una reducción del 57% en informes de gravedad media.
Zoom implementa VISS en su programa Bug Bounty
Desde marzo de 2023, Zoom ha utilizado VISS para evaluar los desembolsos de recompensas en su programa Bug Bounty. Este programa, que brinda un espacio seguro para que los expertos en seguridad descubran y revelen vulnerabilidades, ha experimentado una transformación significativa en los informes presentados. Los informes ahora muestran una tendencia hacia descubrimientos de mayor impacto y explotaciones más complejas.
VISS en acción: el caso práctico con HackerOne
Zoom patrocinó el evento de hacking en directo HackerOne H1-4420 en Londres este año, donde se evaluaron informes de vulnerabilidades utilizando tanto CVSS como VISS. Este enfoque facilitó una mejor asignación de recursos y una mayor concentración en abordar vulnerabilidades críticas y de máxima gravedad.
Capacitar a equipos de seguridad en todo el mundo
La misión de VISS va más allá de Zoom, buscando mejorar la respuesta ante incidentes y los equipos de seguridad en todo el mundo. Al proporcionar una medida completa y objetiva del impacto de la vulnerabilidad, VISS contribuye a la búsqueda continua de una Internet segura para todos.