Zoom VISS, una nueva metodología para evaluar el impacto de las vulnerabilidades

Zoom ha desarrollado durante el último año el nuevo Sistema de Puntuación del Impacto de las Vulnerabilidades VISS (del inglés Vulnerability Impact Scoring System). Se trata de un proyecto de código abierto que intenta mejorar la protección de los entornos digitales proponiendo un enfoque diferente para realizar la puntuación de las vulnerabilidades.

La compañía señala que los sistemas de scoring como Common Vulnerability Scoring System (CVSS) se centran en la perspectiva del atacante, mientras que su VISS mide el impacto desde la perspectiva del defensor. La intención no es sustituir a CVSS, sino complementarlo para mejorar las capacidades de respuesta ante incidentes.

El nuevo sistema de scoring prioriza las vulnerabilidades que son más propensas a impactar en la organización, basando sus evaluaciones no en amenazas teóricas, sino en la exploración demostrable de forma fiable. VISS analiza 13 aspectos de impacto, divididos en plataformas, infraestructuras y datos. Dispone de métricas de controles compensatorios ajustables para que las compañías puedan adaptar las puntuaciones a su perfil de riesgo y tolerancia.

VISS permite centrarse en las vulnerabilidades de mayor gravedad; con el cambio a VISS, “los informes sobre vulnerabilidades han pasado de gravedad baja y media a gravedad alta y crítica”. La compañía señala que, de marzo a diciembre de 2023, experimentó un aumento del 28% en informes de gravedad crítica y del 12% en informes de gravedad alta, acompañados de un 57% de reducción en los informes de gravedad media.