Close

Niveles de gravedad de las incidencias de seguridad


Fuentes de las vulnerabilidades

  • Tickets de analizadores de seguridad, como los presentados por Nexpose y Snyk
  • Hallazgos de programas de recompensas por errores encontrados por investigadores de seguridad a través de Bugcrowd.
  • Vulnerabilidades de seguridad notificadas por el equipo de seguridad como parte de las revisiones.
  • Vulnerabilidades de seguridad notificadas por Atlassians.

Marco y clasificación de gravedad

Atlassian utiliza el sistema común de puntuación de vulnerabilidades (CVSS) como método para evaluar el riesgo de seguridad y priorizar cada vulnerabilidad detectada. El CVSS es una métrica de vulnerabilidad estándar del sector. Puedes obtener más información sobre el CVSS en FIRST.org.

Niveles de gravedad

Los asesoramientos sobre seguridad de Atlassian incluyen un nivel de gravedad. Este nivel de gravedad se basa en nuestra puntuación de CVSS para cada vulnerabilidad específica, que calculamos nosotros mismos.

  • Crítico
  • Alto
  • Medio
  • Bajo

Con CVSS v3, Atlassian utiliza el siguiente sistema de clasificación de gravedad:

PUNTUACIÓN DE CVSS V3
GRAVEDAD EN ASESORAMIENTO

9,0 - 10,0

Crítico

7,0 - 8,9

Alto

4,0 - 6,9

Medio

0,1 - 3,9

Bajo

En algunos casos, Atlassian puede utilizar factores adicionales no relacionados con la puntuación CVSS para determinar el nivel de gravedad de una vulnerabilidad. Este enfoque es compatible con la especificación CVSS v3.1:

Consejo de experto:

Los consumidores pueden utilizar la información de CVSS como parte de un proceso de gestión de vulnerabilidades de su organización que también tenga en cuenta factores que no forman parte de CVSS para clasificar las amenazas para su infraestructura tecnológica y tomar decisiones de corrección fundamentadas. Dichos factores pueden incluir: número de clientes en una línea de productos, pérdidas monetarias debido a un incumplimiento, amenazas que pongan en riesgo la vida o la propiedad, u opinión pública sobre vulnerabilidades muy conocidas. Dichos factores están fuera del alcance de CVSS.

En los casos en que Atlassian adopte este enfoque, describiremos los factores adicionales que se han tenido en cuenta y por qué al divulgar públicamente información sobre la vulnerabilidad.

A continuación, se presentan algunos ejemplos de vulnerabilidades que pueden dar lugar a un determinado nivel de gravedad. Recuerda que esta clasificación no tiene en cuenta los detalles de tu instalación y solo debe utilizarse como guía.

Nivel de gravedad: crítico

Las vulnerabilidades que alcanzan un nivel crítico suelen tener la mayoría de las siguientes características:

  • La explotación de la vulnerabilidad podría poner en riesgo desde la base los servidores o los dispositivos de la infraestructura.
  • La explotación suele ser sencilla, en el sentido de que el atacante no necesita credenciales especiales de autenticación ni conocimientos sobre las víctimas y tampoco tiene que persuadir a ningún usuario objetivo (por ejemplo, mediante la ingeniería social) para que realice ninguna función especial.

En el caso de las vulnerabilidades críticas, se aconseja aplicar un parche o actualización lo antes posible, a menos que se hayan implementado otras medidas de mitigación. Por ejemplo, un factor atenuante podría ser que no pueda accederse a tu instalación desde Internet.

Nivel de gravedad: alto

Las vulnerabilidades que alcanzan un nivel alto suelen tener algunas de las siguientes características:

  • La vulnerabilidad es difícil de explotar.
  • La explotación podría dar lugar a privilegios elevados.
  • La explotación podría dar lugar a una pérdida de datos o un tiempo de inactividad significativos.

Nivel de gravedad: medio

Las vulnerabilidades que alcanzan un nivel medio suelen tener algunas de las siguientes características:

  • Vulnerabilidades que requieren que el atacante manipule a las víctimas mediante tácticas de ingeniería social.
  • Vulnerabilidades de denegación de servicio que son difíciles de preparar.
  • Explotaciones que requieren que el atacante se encuentre en la misma red local que la víctima.
  • Vulnerabilidades en las que la explotación solo proporciona un acceso muy limitado.
  • Vulnerabilidades para las que se requieren privilegios de usuario.

Nivel de gravedad: bajo

Las vulnerabilidades de nivel bajo suelen afectar muy poco al negocio de una organización. La explotación de esas vulnerabilidades suele requerir un acceso local o físico al sistema. Las vulnerabilidades que se encuentren en código de terceros y a las que no se pueda acceder desde el código de Atlassian se pueden reducir a una gravedad baja.

Cronograma de corrección

Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido plazos para corregir las incidencias de seguridad de acuerdo con nuestra política de corrección de errores de seguridad.

Los plazos de resolución acelerada se aplican a:

  • Todos los productos de Atlassian basados en la nube.
  • Jira Align (tanto las versiones en la nube como las autogestionadas).
  • Cualquier otro software o sistema gestionado por Atlassian o que se ejecute en su infraestructura.

Los plazos de resolución ampliados se aplican a lo siguiente:

  • Todos los productos de Atlassian autogestionados.
    • Se trata de los productos que los clientes instalan en sistemas gestionados por ellos.
    • Esto incluye aplicaciones de Data Center, escritorio y dispositivos móviles de Atlassian

Plazos de resolución CVSS

Niveles de gravedad
Plazos de resolución acelerados
Plazos de resolución ampliados

Crítico

En un plazo de 10 días tras la verificación En un plazo de 90 días tras la verificación

Alto

En un plazo de 4 semanas tras la verificación En un plazo de 90 días tras la verificación

Medio

En un plazo de 12 semanas tras la verificación En un plazo de 90 días tras la verificación

Bajo

En un plazo de 25 semanas tras la verificación En un plazo de 180 días tras la verificación