 |
|
|
La compañía de cibserseguridad, Fluid Attacks, ha publicado su último reporte anual “State of Attacks”. Este informe es un recurso ofrecido a cualquier organización interesada en ciberseguridad. Su contenido les permite comparar sus posturas de seguridad y reconocer qué es aquello a lo que más deberían prestar atención, para prevenir ataques de ciberdelincuentes.
El State of Attacks 2022 entrega un resumen y análisis de resultados de las pruebas de seguridad efectuadas sobre los sistemas de los clientes de Fluid Attacks, durante un periodo de un año. El servicio a partir del cual se tomaron la mayoría de los resultados es Hacking Continuo, que evalúa las infraestructuras de TI, aplicaciones o códigos fuente, todo ello a través de un enfoque integral que comprende métodos manuales y automatizados para la detección de vulnerabilidades de seguridad.
En comparación con el reporte anterior (State of Attacks 2021), la cantidad de sistemas en evaluación bajo Hacking Continuo creció en casi un 33%. También fue reportado un 14% más de exposición al riesgo y casi el doble de las vulnerabilidades.
Adicionalmente, hubo una disminución de casi un 40% en la proporción de sistemas bajo Hacking Continuo que presentaron al menos una vulnerabilidad de severidad alta o crítica.
De acuerdo a Julián Arango, Chief Experience Officer en Fluid Attacks, “son muchas las organizaciones que aún asocian pequeñas cantidades de vulnerabilidades con riesgos bajos, y grandes cantidades con riesgos altos. En Fluid Attacks hacemos un cálculo simple con la severidad CVSS, el estándar de industria más usado para valorar vulnerabilidades, y entregamos a nuestros clientes una medida de exposición al riesgo a nivel organizacional y de sistema que permite dimensionar más acertadamente qué tan peligrosas son las vulnerabilidades que hallamos”.
De las más de 33 mil vulnerabilidades que se detectaron en las aplicaciones, alrededor de un 75% de ellas eran de severidad baja y solo un 3,3% eran de severidad alta. No obstante, fueron estas últimas las que representaron casi el 73% del total de exposición al riesgo en estos objetivos de evaluación.
Un resultado destacado dentro de este reporte es que el manual “penetration testing” de Fluid Attacks detectó casi un 68% del total de la exposición al riesgo, en contraste con las técnicas automáticas. De hecho, el 100% de las vulnerabilidades de severidad crítica fueron identificadas manualmente por su equipo de hackers éticos.
Desde Fluid Attacks, recomiendan que las pruebas de seguridad deben ir más allá del uso de herramientas automáticas, las cuales por sus limitaciones pueden equivocarse mucho en sus reportes (falsos positivos), omitir vulnerabilidades presentes (falsos negativos) y enfocarse en las menos severas. Según la compañía, es necesario implementar hacking ético en las pruebas de seguridad de los sistemas, para evitar que una falsa sensación de seguridad guíe las decisiones de las organizaciones.
Julián Arango concluyó que “estos datos permitirán establecer mejores objetivos, en gran medida relacionados con el desarrollo de software seguro y la rápida remediación de vulnerabilidades, para mantener los sistemas e información suficientemente protegidos, para que el negocio y las operaciones no se vean interrumpidos ni afectados por ningún tipo de incidente”.
|
