Publica Fluid Attacks informe anual de ciberseguridad
Michael Rivera, director de analítica en Fluid Attacks, mencionó que el Reporte de ataques 2023 es un recurso para toda organización interesada en su ciberseguridad, pues los resultados pueden compararlos con sus posturas de seguridad y de allí plantear o enriquecer sus objetivos y procedimientos para robustecer la seguridad de sus aplicaciones y otros sistemas.
El reporte contiene un resumen y un análisis de los resultados de las pruebas de seguridad que Fluid Attacks realizó a los sistemas (infraestructuras, códigos fuente y aplicaciones en funcionamiento) de sus clientes durante todo el 2022. La mayoría de los resultados corresponden a los del servicio principal de la compañía, llamado Hacking Continuo, el cual consiste en la evaluación de los sistemas por parte de herramientas automatizadas y el equipo de hacking ético de la empresa para detectar vulnerabilidades de seguridad.
Cambios con respecto al año anterior
En comparación con lo reportado durante todo 2021, la cantidad de sistemas evaluados con Hacking Continuo creció en un 47%, fue reportada una exposición al riesgo 7 veces mayor, y hubo un aumento de casi un 87% en el número de sistemas con al menos una vulnerabilidad de severidad alta o crítica. Adicionalmente, las organizaciones remediaron vulnerabilidades más rápidamente (el tiempo promedio para lograrlo se redujo en casi la mitad).
Mayor importancia a la exposición al riesgo que a la cantidad de vulnerabilidades
Se destacó la importancia de pensar en la exposición al riesgo que representan las vulnerabilidades más que en la cantidad de estas. Según Michael Rivera, las organizaciones no deberían asumir automáticamente que una baja cantidad de vulnerabilidades se traduce en un riesgo bajo, o que una alta cantidad implica un riesgo alto. “Cuando en nuestra plataforma reportamos una vulnerabilidad, informamos sobre la exposición al riesgo que esta representa para el sistema en evaluación. Esta exposición la denominamos CVSSF, la cual calculamos a partir del estándar de industria CVSS. Al alterar la escala de valores de este estándar, podemos hacer explícitas ciertas relaciones ocultas como, por ejemplo, que el hecho de tener una sola vulnerabilidad con una puntuación alta puede ser más peligroso que tener diez vulnerabilidades con una puntuación baja”.
Como prueba de lo anterior, un 72% de las más de 440 mil vulnerabilidades que se detectaron en los sistemas evaluados fueron de severidad baja, mientras que las vulnerabilidades de severidades alta y crítica representaron juntas solo un 3,3% de ese total. Sin embargo, fueron estas últimas las que constituyeron el 93,7% del total de exposición al riesgo. Así pues, si bien hubo mayor cantidad de vulnerabilidades de severidad baja, en términos de exposición al riesgo estas solo lograron representar un 0,5% del total.
Las pruebas realizadas por hackers éticos siguen detectando mayor exposición al riesgo
Si bien más de la mitad de las vulnerabilidades reportadas en el año fueron identificadas por las herramientas automatizadas de la compañía, las técnicas manuales de los hackers éticos de la firma (p. ej., pentesting, revisión de código e ingeniería inversa) permitieron detectar más de la mitad de la exposición al riesgo total. Siendo más específicos, los hackers reportaron vulnerabilidades que en promedio representaban una exposición al riesgo de casi el doble que aquella atribuible a las vulnerabilidades detectadas por las herramientas. Esto sugiere que las pruebas de seguridad que se basan solamente en los escaneos de vulnerabilidades pueden quedarse cortas en la detección de los problemas de seguridad más peligrosos, por lo cual es recomendable que las aplicaciones y otras tecnologías sean evaluadas también por humanos expertos.
Romper el build se relaciona con remediar vulnerabilidades en mayor cantidad y más rápidamente
Para este informe se destacaron los beneficios de la estrategia de la marca de romper el build, en la cual de forma automática se ve interrumpido el despliegue de software a producción cuando este aún contiene vulnerabilidades sin remediar. Esta estrategia, la cual es opcional para los clientes, permitió que aquellos que la emplearon tardaran menos tiempo en remediar vulnerabilidades que aquellos que no rompieron el build (la mediana de tiempo fue casi 48% menor). Además, la tasa de remediación alcanzada a finales del año en los sistemas que tenían esta estrategia implementada fue alrededor de un 43% más alta que en aquellos que no la utilizaron.
Prevalece el uso de software con vulnerabilidades conocidas
Tal como sucedió en los dos años anteriores, este reporte reveló que el problema de seguridad más común entre los sistemas evaluados fue el uso de software con vulnerabilidades conocidas (apareció en casi un 83% de ellos). Esta vulnerabilidad, a la que suele responderse con la revisión y actualización de componentes de software de terceros, fue además la que mayor exposición al riesgo representó en general, sobrepasando el 25% del total reportado durante todo el año.
Estos son solo algunos de los hallazgos clave que aparecen en el Reporte de ataques 2023, los cuales pueden resultar útiles para las organizaciones comprometidas con su ciberseguridad. Como concluye Michael Rivera, “Estos resultados permiten reconocer logros y fallas comunes, pero al tiempo establecer metas en lo que respecta al desarrollo de software seguro y a la detección y remediación de vulnerabilidades. En pocas palabras, cuando una compañía evalúa la seguridad de sus aplicaciones desde el principio y durante todo el ciclo de desarrollo con la ayuda de expertos y herramientas, y además prioriza y soluciona los problemas con prontitud, mantiene una postura preventiva lo suficientemente sólida como para generar y conservar confianza entre sus clientes”.
WhatsApp eSemanal 55 7360 5651
