LOADING

Type to search

Actualidad

Fluid Attacks publicó su informe anual de ciberseguridad

Share

Fluid Attacks, compañía especializada en ayudar a las empresas a desarrollar y desplegar software seguro y sin retrasos, publicó su Reporte de ataques 2023 (State of Attacks 2023, es su versión en inglés). Michael Rivera, director de analítica en Fluid Attacks, explica que este reporte “es un recurso útil para toda organización interesada en su ciberseguridad. Al conocer los resultados generales de nuestras pruebas, estas organizaciones pueden compararlos con sus posturas de seguridad y de allí plantear o enriquecer sus objetivos y procedimientos para mejorar la seguridad de sus aplicaciones y otros sistemas”.

Este Reporte de ataques 2023 contiene un resumen y un análisis de los resultados de las pruebas de seguridad que Fluid Attacks realizó a los sistemas (infraestructuras, códigos fuente y aplicaciones en funcionamiento) de sus clientes durante todo el 2022. La mayoría de los resultados corresponden a los del servicio principal de la compañía, llamado Hacking Continuo, el cual consiste en la evaluación continua de los sistemas por parte de herramientas automatizadas y el equipo de hacking ético de Fluid Attacks para detectar vulnerabilidades de seguridad.

Cambios significativos con respecto al año anterior:

En comparación con lo reportado durante todo 2021, la cantidad de sistemas evaluados con Hacking Continuo creció en un 47%, fue reportada una exposición al riesgo 7 veces mayor, y hubo un aumento de casi un 87% en el número de sistemas con al menos una vulnerabilidad de severidad alta o crítica. Adicionalmente, las organizaciones remediaron vulnerabilidades más rápidamente (el tiempo promedio para lograrlo se redujo en casi la mitad).

Mayor importancia a la exposición al riesgo que a la cantidad de vulnerabilidades:

Según Michael Rivera, “las organizaciones no deberían asumir automáticamente que una baja cantidad de vulnerabilidades se traduce en un riesgo bajo, o que una alta cantidad implica un riesgo alto. Cuando en nuestra plataforma reportamos una vulnerabilidad, informamos sobre la exposición al riesgo que esta representa para el sistema en evaluación. Esta exposición la denominamos CVSSF, la cual calculamos a partir del estándar de industria CVSS. Al alterar la escala de valores de este estándar, podemos hacer explícitas ciertas relaciones ocultas como, por ejemplo, que el hecho de tener una sola vulnerabilidad con una puntuación alta puede ser más peligroso que tener diez vulnerabilidades con una puntuación baja”.

Como prueba de lo anterior, un 72% de las más de 440 mil vulnerabilidades que se detectaron en los sistemas evaluados fueron de severidad baja, mientras que las vulnerabilidades de severidades alta y crítica representaron juntas solo un 3,3% de ese total. Sin embargo, fueron estas últimas las que constituyeron el 93,7% del total de exposición al riesgo. Así pues, si bien hubo mayor cantidad de vulnerabilidades de severidad baja, en términos de exposición al riesgo estas solo lograron representar un 0,5% del total.

Las pruebas realizadas por hackers éticos siguen detectando mayor exposición al riesgo:

Los hackers reportaron vulnerabilidades que en promedio representaban una exposición al riesgo de casi el doble que aquella atribuible a las vulnerabilidades detectadas por las herramientas. Esto sugiere que las pruebas de seguridad que se basan solamente en los escaneos de vulnerabilidades pueden quedarse cortas en la detección de los problemas de seguridad más peligrosos, por lo cual es recomendable que las aplicaciones y otras tecnologías sean evaluadas también por humanos expertos.

Prevalece el uso de software con vulnerabilidades conocidas:

Tal como sucedió en los dos años anteriores, este reporte reveló que el problema de seguridad más común entre los sistemas evaluados fue el uso de software con vulnerabilidades conocidas (apareció en casi un 83% de ellos). Esta vulnerabilidad, a la que suele responderse con la revisión y actualización de componentes de software de terceros, fue además la que mayor exposición al riesgo representó en general, sobrepasando el 25% del total reportado durante todo el año.

Estos son solo algunos de los hallazgos clave que aparecen en el Reporte de ataques 2023, los cuales pueden resultar útiles para las organizaciones comprometidas con su ciberseguridad. Como concluye Michael Rivera, “estos resultados permiten reconocer logros y fallas comunes, pero al tiempo establecer metas específicas en lo que respecta al desarrollo de software seguro y a la detección y remediación de vulnerabilidades. En pocas palabras, cuando una compañía evalúa la seguridad de sus aplicaciones desde el principio y durante todo el ciclo de desarrollo con la ayuda de expertos y herramientas, y además prioriza y soluciona los problemas con prontitud, mantiene una postura preventiva lo suficientemente sólida como para generar y conservar confianza entre sus clientes”.

Tags:

Leave a Comment

Your email address will not be published. Required fields are marked *

Cómo podemos ayudarte?