Destacadas

  1. Home  »  DestacadasReportes de Seguridad   »   Fluid Attacks publicó su informe anual de ciberseguridad

Fluid Attacks publicó su informe anual de ciberseguridad

  • 21 septiembre, 2023

Fluid Attacks publicó su Reporte de ataques 2023 (State of Attacks 2023, es su versión en inglés). Michael Rivera, director de analítica en Fluid Attacks, explica que este reporte “es un recurso útil para toda organización interesada en su ciberseguridad.

ciberseguridad

Al conocer los resultados generales de nuestras pruebas, estas organizaciones pueden compararlos con sus posturas de seguridad y de allí plantear o enriquecer sus objetivos y procedimientos para mejorar la seguridad de sus aplicaciones y otros sistemas”.

Este Reporte de ataques 2023 contiene un resumen y un análisis de los resultados de las pruebas de seguridad que Fluid Attacks realizó a los sistemas (infraestructuras, códigos fuente y aplicaciones en funcionamiento) de sus clientes durante todo el 2022. La mayoría de los resultados corresponden a los del servicio principal de la compañía, llamado Hacking Continuo, el cual consiste en la evaluación continua de los sistemas por parte de herramientas automatizadas y el equipo de hacking ético de Fluid Attacks para detectar vulnerabilidades de seguridad.

Cambios significativos con respecto al año anterior:
En comparación con lo reportado durante todo 2021, la cantidad de sistemas evaluados con Hacking Continuo creció en un 47%, fue reportada una exposición al riesgo 7 veces mayor, y hubo un aumento de casi un 87% en el número de sistemas con al menos una vulnerabilidad de severidad alta o crítica.

Adicionalmente, las organizaciones remediaron vulnerabilidades más rápidamente (el tiempo promedio para lograrlo se redujo en casi la mitad).

Mayor importancia a la exposición al riesgo que a la cantidad de vulnerabilidades:
Así como en el reporte entregado en 2022, Fluid Attacks destacó en el de este año la importancia de pensar en la exposición al riesgo que representan las vulnerabilidades más que en la cantidad de estas.

Según Michael Rivera, “las organizaciones no deberían asumir automáticamente que una baja cantidad de vulnerabilidades se traduce en un riesgo bajo, o que una alta cantidad implica un riesgo alto. Cuando en nuestra plataforma reportamos una vulnerabilidad, informamos sobre la exposición al riesgo que esta representa para el sistema en evaluación. Esta exposición la denominamos CVSSF, la cual calculamos a partir del estándar de industria CVSS. Al alterar la escala de valores de este estándar, podemos hacer explícitas ciertas relaciones ocultas como, por ejemplo, que el hecho de tener una sola vulnerabilidad con una puntuación alta puede ser más peligroso que tener diez vulnerabilidades con una puntuación baja”.

Como prueba de lo anterior, un 72% de las más de 440 mil vulnerabilidades que se detectaron en los sistemas evaluados fueron de severidad baja, mientras que las vulnerabilidades de severidades alta y crítica representaron juntas solo un 3,3% de ese total. Sin embargo, fueron estas últimas las que constituyeron el 93,7% del total de exposición al riesgo. Así pues, si bien hubo mayor cantidad de vulnerabilidades de severidad baja, en términos de exposición al riesgo estas solo lograron representar un 0,5% del total.

Las pruebas realizadas por hackers éticos siguen detectando mayor exposición al riesgo:
Si bien más de la mitad de las vulnerabilidades reportadas en el año fueron identificadas por las herramientas automatizadas de la compañía, las técnicas manuales de los hackers éticos de Fluid Attacks (p. ej., pentesting, revisión de código e ingeniería inversa) permitieron detectar más de la mitad de la exposición al riesgo total.

Siendo más específicos, los hackers reportaron vulnerabilidades que en promedio representaban una exposición al riesgo de casi el doble que aquella atribuible a las vulnerabilidades detectadas por las herramientas. Esto sugiere que las pruebas de seguridad que se basan solamente en los escaneos de vulnerabilidades pueden quedarse cortas en la detección de los problemas de seguridad más peligrosos, por lo cual es recomendable que las aplicaciones y otras tecnologías sean evaluadas también por humanos expertos.

Romper el build se relaciona con remediar vulnerabilidades en mayor cantidad y más rápidamente:
Para este informe se destacaron de nuevo los beneficios de la estrategia de Fluid Attacks de romper el build, en la cual de forma automática se ve interrumpido el despliegue de software a producción cuando este aún contiene vulnerabilidades sin remediar. Esta estrategia, la cual es opcional para los clientes, permitió que aquellos que la emplearon tardaran menos tiempo en remediar vulnerabilidades que aquellos que no rompieron el build (la mediana de tiempo fue casi 48% menor). Además, la tasa de remediación alcanzada a finales del año en los sistemas que tenían esta estrategia implementada fue alrededor de un 43% más alta que en aquellos que no la utilizaron.

Prevalece el uso de software con vulnerabilidades conocidas:
Tal como sucedió en los dos años anteriores, este reporte reveló que el problema de seguridad más común entre los sistemas evaluados fue el uso de software con vulnerabilidades conocidas (apareció en casi un 83% de ellos). Esta vulnerabilidad, a la que suele responderse con la revisión y actualización de componentes de software de terceros, fue además la que mayor exposición al riesgo representó en general, sobrepasando el 25% del total reportado durante todo el año.

Estos son solo algunos de los hallazgos clave que aparecen en el Reporte de ataques 2023, los cuales pueden resultar útiles para las organizaciones comprometidas con su ciberseguridad. Como concluye Michael Rivera, “estos resultados permiten reconocer logros y fallas comunes, pero al tiempo establecer metas específicas en lo que respecta al desarrollo de software seguro y a la detección y remediación de vulnerabilidades. En pocas palabras, cuando una compañía evalúa la seguridad de sus aplicaciones desde el principio y durante todo el ciclo de desarrollo con la ayuda de expertos y herramientas, y además prioriza y soluciona los problemas con prontitud, mantiene una postura preventiva lo suficientemente sólida como para generar y conservar confianza entre sus clientes”.

Artículos relacionados:

Hillstone Networks

Hillstone Networks ayuda a SIAPA a modernizar su infraestructura de seguridad para asegurar la entrega de servicios de agua

  • 18 abril, 2024
teclado

Check Point Software estima que se robaron 22 mil millones de registros de cookies en 2022

  • 18 abril, 2024
ciberseguridad

Qué es el estándar de Ciberseguridad 2.0 y por qué las empresas mexicanas deben cumplirlo en 2024

  • 18 abril, 2024
Tenable Cloud Security

Tenable ofrece funcionalidad de nube Zero Trust para Kubernetes

  • 18 abril, 2024

Artículos recientes

Phil Shaw, Director General para México en Uniview

Uniview ha desplegado miles de cámaras en proyectos realizados en México

  • 23 abril, 2024
Tecnosinergia Express Plus Marina Nacional

Tecnosinergia abre nueva tienda para entregas exprés y showroom en Marina Nacional

  • 22 abril, 2024
Darío Mojica, Director de Ingeniería Preventa para Latinoamérica en Motorola Solutions

Motorola Solutions lleva la analítica de video al siguiente nivel con detección de arma visible

  • 20 abril, 2024
Fanbo Meng, Director Comercial de Tiandy Technologies

Tiandy Technologies arriba a México con cámaras IP de costo asequible para sustituir tecnología análoga

  • 20 abril, 2024
Bolide Technology Exposeguridad 2024

Bolide Technology insta a los integradores a poner atención en proyectos de transporte de mercancía

  • 20 abril, 2024
SecuriTIC