5 min de lectura
Actualizado el December 14, 2023
Publicado el December 14, 2023
Para ayudar a rediseñar el panorama de la evaluación de vulnerabilidades y la respuesta ante incidentes, nos complace anunciar la disponibilidad para todo el público de nuestro innovador proyecto de código abierto: el Sistema de Puntuación del Impacto de las Vulnerabilidades, o VISS. Este proyecto, que se desarrolló durante el año pasado, tiene como objetivo mejorar las medidas de seguridad para conseguir un entorno digital más seguro a través de nuestro innovador enfoque de la puntuación de vulnerabilidades. El VISS ofrece una interfaz de usuario web fácil de usar y algoritmos avanzados que dan prioridad al impacto real demostrado sobre las posibilidades teóricas de impacto en la seguridad.
Mientras que los sistemas de puntuación tradicionales, como el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), se enfocan en el punto de vista de un atacante y en las peores situaciones hipotéticas, el VISS adopta una postura diferente. Complementa al CVSS al ofrecer un sistema de evaluación exclusivo que mejora las capacidades de respuesta ante incidentes. Al medir objetivamente el impacto de las vulnerabilidades desde la perspectiva de un defensor, el VISS puede fundamentar sus evaluaciones en la explotación demostrada de forma responsable en lugar de hacerlo en amenazas teóricas.
Desde marzo de 2023, Zoom ha empleado este innovador sistema de puntuación para evaluar los desembolsos de recompensas dentro de nuestro programa de recompensa de errores. Este programa ofrece un espacio seguro para que los investigadores de seguridad y los usuarios de productos detecten y divulguen vulnerabilidades de seguridad a Zoom, sin temor a sufrir represalias legales. Esta iniciativa, que a menudo va acompañada de una recompensa para la persona que detecta tales vulnerabilidades, ha sido testigo de una notable transformación en los informes enviados, lo que supone una evolución importante con respecto a las prácticas anteriores.
Creemos que esta tendencia perceptible hacia hallazgos de mayor impacto y explotaciones en varios pasos cada vez más intrincadas pone de manifiesto que los investigadores dedican más tiempo a profundizar en las sutilezas de las posibles vulnerabilidades.
En lugar de destinar valiosos recursos limitados a vulnerabilidades que tienen menos probabilidades de tener un impacto tangible, el VISS puede contribuir a proteger de forma proactiva su entorno y dar prioridad a las vulnerabilidades que tienen más probabilidades de afectar a su organización. Dado que muchas empresas han reducido su plantilla en el último año, esta priorización es fundamental para ayudarlo a saber dónde enfocar el tiempo y el esfuerzo para obtener el máximo valor.
El VISS analiza las vulnerabilidades en función de 13 aspectos de impacto, que se clasifican en grupos de plataformas, infraestructura y datos. La puntuación numérica obtenida, que oscila entre 0 y 100, indica la gravedad del impacto en un entorno específico. Con la métrica de controles compensatorios, las puntuaciones del VISS se pueden ajustar y ofrecen flexibilidad a los propietarios de entornos para adaptar las puntuaciones en función de su perfil de riesgo y tolerancia individuales por medio de un sólido portal de administración.
Para ahondar en los detalles y probar la implementación de la calculadora del VISS de Zoom, revise la especificación completa del VISS.
Zoom patrocinó el evento de hackeo en directo, HackerOne H1-4420, que se celebró en Londres en 2023. Durante este evento, los informes de vulnerabilidad que enviaron los hackers se sometieron a un proceso avanzado de evaluación de errores mediante CVSS y VISS. El método, que demostró la eficacia del VISS, facilitó una mejor asignación de recursos y una mayor concentración en el tratamiento de las vulnerabilidades de gravedad crítica y alta.
Después de cambiar al VISS, los informes de vulnerabilidades han pasado de ser de gravedad baja y media a ser de gravedad alta y crítica. Los investigadores están invirtiendo más tiempo y energía en hacer evolucionar sus explotaciones más allá de lo teórico, y más hacia un impacto demostrado. En el periodo entre marzo de 2023 y el 1 de diciembre de 2023, Zoom observó un aumento del 28 % en los informes de gravedad crítica y del 12 % en los de gravedad alta. En especial, se produjo una reducción significativa del 57 % en los envíos de gravedad media en comparación con los 8 meses anteriores a la implementación del VISS en marzo de 2023.
La misión del VISS va más allá de Zoom, ya que su objetivo es ayudar a mejorar la respuesta ante incidentes y los equipos de seguridad en todo el mundo. Al proporcionar al sector una medida completa y objetiva del impacto de la vulnerabilidad, el VISS colabora en la búsqueda continua de una Internet segura para todos.
Lo invitamos a conocer el VISS, a contribuir a su desarrollo y a unirse a nosotros para revolucionar la puntuación del impacto de la vulnerabilidad. Creemos juntos un futuro digital más seguro. Revise el repositorio de código abierto en https://github.com/zoom/viss.
El código fuente está sujeto a la licencia GPL 3.0.
3 min de lectura
Las herramientas de gestión del cumplimiento, como Zoom Compliance Manager, pueden ayudarlo a desenvolverse en el complicado panorama de las comunicaciones. Descubra cómo funciona.
3 min de lectura
El programa de recompensa de errores de Zoom incentiva la detección y divulgación responsable de vulnerabilidades de seguridad. Aquí presentamos lo más destacado del año pasado.
2 min de lectura
Zoom ya está registrado en el Programa de Evaluación y Gestión de la Seguridad de los Sistemas de Información (ISMAP). Descubra lo que esto significa para nuestros clientes.
