Muchas veces hemos hablado aquí en Visualbeta de vulnerabilidades, tanto a nivel de sistema operativo como de aplicaciones, pero lo cierto es que el criterio para clasificarlas es muy dispar y va de acuerdo a lo que cada compañía cree conveniente. En pos de unificar eso es que nace el Sistema Común de Puntuación de Debilidades, o CWSS, que pretende convertirse en la referencia a la hora de clasificar vulnerabilidades.
CWSS es el continuador de CVSS, o Sistema Común de Puntuación de Vulnerabilidades, pero sigue un criterio más avanzado que su antecesor ya que entre otras diferencias en este nuevo sistema se tienen en cuenta los efectos de los procesos críticos de negocio.
Otro punto destacado de CWSS está en el hecho de que estudia la naturaleza de los datos para determinar hasta qué punto esa vulnerabilidad podría ser aprovechada por hackers, con el objetivo de saber si esa debilidad puede otorgar acceso a documentos en modo de sólo lectura o si las cosas serían más graves y se podría acceder en modo de escritura, pudiendo modificar datos o eliminarlos.
Además, CWSS está orientado a los desarrolladores y a facilitar su trabajo ya que se establecen criterios para su utilización durante la fase de desarrollo de un programa. Así pues, si un buffer overflow es descubierto durante una auditoría de código, se le asigna una prioridad CWSS baja si los datos que disparan ese suceso no son ingresados por el usuario sino que son parte del funcionamiento aleatorio del programa.
En la creación y mantenimiento de CWSS (que marcha por su versión 0.8) ha trabajado la organización MITRE, que ha desarrollado el sistema CVE de clasificación de vulnerabilidades. Además, CWSS cuenta con el apoyo del Departamento de Seguridad de EEUU, y de la División Nacional de Seguridad Cibernética.
Más información: CWSS
