Fluid Attacks publicó su informe anual de ciberseguridad: Reporte de ataques 2023

person-loading-ramsomware-software-768x768-1.jpg

Man installing software in laptop in dark at night. Hacker loading illegal program or guy downloading files. Cyber security, piracy or virus concept.

  • Las organizaciones pueden considerar este reporte para establecer o enriquecer sus metas sobre el desarrollo y despliegue de software seguro.

Fluid Attacks, compañía especializada en ayudar a las empresas a desarrollar y desplegar software seguro y sin retrasos, publicó su Reporte de ataques 2023 (State of Attacks 2023, es su versión en inglés). Michael Rivera, director de analítica en Fluid Attacks, explica que este reporte “es un recurso útil para toda organización interesada en su ciberseguridad. Al conocer los resultados generales de nuestras pruebas, estas organizaciones pueden compararlos con sus posturas de seguridad y de allí plantear o enriquecer sus objetivos y procedimientos para mejorar la seguridad de sus aplicaciones y otros sistemas”.

Este Reporte de ataques 2023 contiene un resumen y un análisis de los resultados de las pruebas de seguridad que Fluid Attacks realizó a los sistemas (infraestructuras, códigos fuente y aplicaciones en funcionamiento) de sus clientes durante todo el 2022. La mayoría de los resultados corresponden a los del servicio principal de la compañía, llamado Hacking Continuo, el cual consiste en la evaluación continua de los sistemas por parte de herramientas automatizadas y el equipo de hacking ético de Fluid Attacks para detectar vulnerabilidades de seguridad.

Cambios significativos con respecto al año anterior:

En comparación con lo reportado durante todo 2021, la cantidad de sistemas evaluados con Hacking Continuo creció en un 47%, fue reportada una exposición al riesgo 7 veces mayor, y hubo un aumento de casi un 87% en el número de sistemas con al menos una vulnerabilidad de severidad alta o crítica. Adicionalmente, las organizaciones remediaron vulnerabilidades más rápidamente (el tiempo promedio para lograrlo se redujo en casi la mitad).

Mayor importancia a la exposición al riesgo que a la cantidad de vulnerabilidades: 

Así como en el reporte entregado en 2022, Fluid Attacks destacó en el de este año la importancia de pensar en la exposición al riesgo que representan las vulnerabilidades más que en la cantidad de estas. Según Michael Rivera, “las organizaciones no deberían asumir automáticamente que una baja cantidad de vulnerabilidades se traduce en un riesgo bajo, o que una alta cantidad implica un riesgo alto. Cuando en nuestra plataforma reportamos una vulnerabilidad, informamos sobre la exposición al riesgo que esta representa para el sistema en evaluación. Esta exposición la denominamos CVSSF, la cual calculamos a partir del estándar de industria CVSS. Al alterar la escala de valores de este estándar, podemos hacer explícitas ciertas relaciones ocultas como, por ejemplo, que el hecho de tener una sola vulnerabilidad con una puntuación alta puede ser más peligroso que tener diez vulnerabilidades con una puntuación baja”.

Como prueba de lo anterior, un 72% de las más de 440 mil vulnerabilidades que se detectaron en los sistemas evaluados fueron de severidad baja, mientras que las vulnerabilidades de severidades alta y crítica representaron juntas solo un 3,3% de ese total. Sin embargo, fueron estas últimas las que constituyeron el 93,7% del total de exposición al riesgo. Así pues, si bien hubo mayor cantidad de vulnerabilidades de severidad baja, en términos de exposición al riesgo estas solo lograron representar un 0,5% del total.

Las pruebas realizadas por hackers éticos siguen detectando mayor exposición al riesgo:

Si bien más de la mitad de las vulnerabilidades reportadas en el año fueron identificadas por las herramientas automatizadas de la compañía, las técnicas manuales de los hackers éticos de Fluid Attacks (p. ej., pentesting, revisión de código e ingeniería inversa) permitieron detectar más de la mitad de la exposición al riesgo total. Siendo más específicos, los hackers reportaron vulnerabilidades que en promedio representaban una exposición al riesgo de casi el doble que aquella atribuible a las vulnerabilidades detectadas por las herramientas. Esto sugiere que las pruebas de seguridad que se basan solamente en los escaneos de vulnerabilidades pueden quedarse cortas en la detección de los problemas de seguridad más peligrosos, por lo cual es recomendable que las aplicaciones y otras tecnologías sean evaluadas también por humanos expertos.

Romper el build se relaciona con remediar vulnerabilidades en mayor cantidad y más rápidamente:

Para este informe se destacaron de nuevo los beneficios de la estrategia de Fluid Attacks de romper el build, en la cual de forma automática se ve interrumpido el despliegue de software a producción cuando este aún contiene vulnerabilidades sin remediar. Esta estrategia, la cual es opcional para los clientes, permitió que aquellos que la emplearon tardaran menos tiempo en remediar vulnerabilidades que aquellos que no rompieron el build (la mediana de tiempo fue casi 48% menor). Además, la tasa de remediación alcanzada a finales del año en los sistemas que tenían esta estrategia implementada fue alrededor de un 43% más alta que en aquellos que no la utilizaron.

Prevalece el uso de software con vulnerabilidades conocidas:

Tal como sucedió en los dos años anteriores, este reporte reveló que el problema de seguridad más común entre los sistemas evaluados fue el uso de software con vulnerabilidades conocidas (apareció en casi un 83% de ellos). Esta vulnerabilidad, a la que suele responderse con la revisión y actualización de componentes de software de terceros, fue además la que mayor exposición al riesgo representó en general, sobrepasando el 25% del total reportado durante todo el año.

Estos son solo algunos de los hallazgos clave que aparecen en el Reporte de ataques 2023, los cuales pueden resultar útiles para las organizaciones comprometidas con su ciberseguridad. Como concluye Michael Rivera, “estos resultados permiten reconocer logros y fallas comunes, pero al tiempo establecer metas específicas en lo que respecta al desarrollo de software seguro y a la detección y remediación de vulnerabilidades. En pocas palabras, cuando una compañía evalúa la seguridad de sus aplicaciones desde el principio y durante todo el ciclo de desarrollo con la ayuda de expertos y herramientas, y además prioriza y soluciona los problemas con prontitud, mantiene una postura preventiva lo suficientemente sólida como para generar y conservar confianza entre sus clientes”.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top