- Vulnerabilidades
- Vista general
- Tabla de vulnerabilidades
- Vista de detalle de una vulnerabilidad
- Información mostrada
- Pestañas disponibles
- Acciones disponibles
- Fuentes de vulnerabilidades
- Gravedad del CVSS3
- Estado de la vulnerabilidad
- Justificación de vulnerabilidad
- Respuesta a la vulnerabilidad
- Proceso de mitigación de vulnerabilidades
- Priorización de vulnerabilidades
- Clasificación por IA
Vulnerabilidades #
La sección de Vulnerabilidades proporciona una visión detallada y accionable de las debilidades detectadas en los productos registrados. Esta área está diseñada para facilitar el análisis, la gestión y la mitigación de riesgos de seguridad mediante herramientas visuales, filtros y funciones interactivas.
Vista general #
Al acceder a la vista principal, el usuario encontrará tres gráficos de tipo donut que resumen la situación general de las vulnerabilidades:
- Vulnerabilidades por criticidad: agrupa las vulnerabilidades según su nivel de severidad (bajo, medio, alto, crítico).
- Mitigadas vs. Sin mitigar: muestra la proporción entre las vulnerabilidades que ya han sido mitigadas frente a las que siguen activas.
- Vulnerabilidades por estado: clasifica las vulnerabilidades según su estado actual en el ciclo de gestión (por ejemplo, abierta, en revisión, cerrada).
A la derecha de estos gráficos se encuentra un botón de acción Exportar a PDF, que genera un informe con los datos visibles en la vista actual. Este informe está pensado para su uso en auditorías, reuniones o análisis externos.
Tabla de vulnerabilidades #
Debajo de los gráficos se presenta una tabla con el listado completo de vulnerabilidades identificadas en la plataforma. Cada fila representa una vulnerabilidad individual, mostrando información como:
- ID o código de vulnerabilidad
- Puntuación
- Prioridad
- EPSS
- Estado
- Evaluación
- Producto asociado
- Etiquetas
- Versión
Cada fila incluye un conjunto de acciones rápidas, como:
- Editar vulnerabilidad: redirige a la vista de detalle, donde se puede modificar el estado o actualizar información relacionada.
- También es posible acceder a la vista de detalle simplemente haciendo clic sobre cualquier fila de la tabla.
Vista de detalle de una vulnerabilidad #
Esta vista proporciona toda la información técnica y contextual relacionada con una vulnerabilidad específica. Desde aquí se pueden gestionar acciones y profundizar en el análisis.
Información mostrada #
- Datos generales como ID, producto o componente afectado, severidad, estado y descripción técnica.
- Posibilidad de modificar el estado de la vulnerabilidad desde esta misma vista.
Pestañas disponibles #
- Metadatos: muestra atributos técnicos y contextuales como fuente, referencias, fechas y tipo.
- Componentes afectados: lista los componentes comprometidos.
- Incidencias de Jira: visualiza los tickets relacionados si existe integración.
- Exploits conocidos: información sobre herramientas o exploits públicos disponibles.
Acciones disponibles #
Debajo de las pestañas se encuentran dos botones clave:
- Histórico de la vulnerabilidad: consulta un registro cronológico de cambios y acciones realizadas.
- Calculadora de CVSS3: permite recalcular la puntuación CVSS v3 considerando el contexto del producto afectado.
Fuentes de vulnerabilidades #
Las vulnerabilidades en myOrbik se recopilan desde múltiples fuentes reconocidas:
- NIST: base gubernamental con identificadores CVE y metadatos detallados.
- OSV: enfocado en software de código abierto.
- GitHub Advisory: informes de vulnerabilidades relacionados con proyectos alojados en GitHub.
La base de datos de myOrbik se sincroniza diariamente para garantizar que los usuarios cuenten con información actualizada.
Gravedad del CVSS3 #
El nivel de gravedad se determina con base en el estándar CVSS v3, y puede clasificarse como:
- Ninguno: sin impacto detectado.
- Bajo: riesgo mínimo.
- Medio: impacto moderado, requiere mitigación.
- Alto: impacto significativo.
- Crítico: requiere atención inmediata.
- Desconocido: gravedad no determinada.
Estado de la vulnerabilidad #
Cada vulnerabilidad puede encontrarse en uno de los siguientes estados:
- Detectado
- Resuelto
- Explotable
- En triaje
- Falso positivo
- No afectado
Justificación de vulnerabilidad #
Cuando se clasifica como Falso Positivo o No Afectado, se debe documentar una justificación, como:
- Código no presente
- Código no accesible
- Requiere configuración
- Requiere dependencia
- Requiere entorno
- Protegido por el compilador
- Protegido en tiempo de ejecución
- Protegido en el perímetro
- Protegido por control de mitigación
Respuesta a la vulnerabilidad #
El usuario puede registrar una acción de respuesta como:
- No se puede solucionar
- No se solucionará
- Actualización disponible
- Reversión
- Solución alternativa disponible
Proceso de mitigación de vulnerabilidades #
Una vez detectada una vulnerabilidad, el proceso sigue estas etapas:
- El sistema notifica al usuario tras el análisis.
- Se extrae una lista de componentes con vulnerabilidades asociadas.
- Cada vulnerabilidad recibe:
- CVE: identificador único.
- CVSS: puntuación de gravedad.
- CPE: identificador estandarizado de software o hardware afectado.
El usuario puede recalcular la puntuación CVSS con la calculadora integrada, teniendo en cuenta su entorno.
Priorización de vulnerabilidades #
Para apoyar la toma de decisiones, myOrbik calcula una prioridad basada en:
- EPSS (Exploit Prediction Scoring System): predice la probabilidad de explotación.
- KEV (Known Exploited Vulnerabilities): identifica vulnerabilidades activamente explotadas.
El sistema asigna una prioridad del 1 al 5, donde 1 representa la más crítica.
Clasificación por IA #
Se utiliza un sistema de inteligencia artificial externa para evaluar las vulnerabilidades. Esta IA analiza factores como:
- Probabilidad de explotación (EPP)
- Percentil
- Prioridad
- Puntuación contextual
Gracias a esta clasificación inteligente, los usuarios pueden actuar rápidamente sobre las amenazas más relevantes para su entorno.
