Fluid Attacks, compañía especializada en pruebas de ciberseguridad, ha publicado recientemente su último reporte anual State of Attacks. Tal como explica Julián Arango, Chief Experience Officer en Fluid Attacks, “el State of Attacks es un recurso que ofrecemos a cualquier organización interesada en su ciberseguridad. Su contenido les permite comparar sus posturas de seguridad y reconocer qué es aquello a lo que más deberían prestar atención para prevenir ataques de ciberdelincuentes”.
El State of Attacks 2022 entrega un resumen y análisis de resultados de las pruebas de seguridad efectuadas sobre los sistemas de los clientes de Fluid Attacks durante un periodo de un año. El servicio a partir del cual se tomaron la mayoría de los resultados es Hacking Continuo, en el cual son evaluados continuamente infraestructura de TI, aplicaciones o código fuente a través de un enfoque integral que comprende métodos manuales y automatizados para la detección de vulnerabilidades de seguridad.
Cambios significativos con relación al año anterior
En comparación con el reporte anterior (State of Attacks 2021), la cantidad de sistemas en evaluación bajo Hacking Continuo creció en casi un 33%; fue reportado un 14% más de exposición al riesgo y casi el doble de las vulnerabilidades; además, el tiempo promedio que tardaron las organizaciones en la remediación de vulnerabilidades se redujo en casi la mitad. Adicionalmente, hubo una disminución de casi un 40% en la proporción de sistemas bajo Hacking Continuo que presentaron al menos una vulnerabilidad de severidad alta o crítica. Este dato puede deberse a una mejora en la postura de seguridad de las organizaciones en evaluación, muchas de las cuales ya venían usando los servicios de Fluid Attacks desde el periodo anterior.
La exposición al riesgo ‘desbanca’ a la cantidad de vulnerabilidades
En este reporte se hace evidente el interés de Fluid Attacks por dar mayor relevancia a la exposición al riesgo que a la cantidad de vulnerabilidades. De acuerdo con Julián Arango, “son muchas las organizaciones que aún asocian pequeñas cantidades de vulnerabilidades con riesgos bajos, y grandes cantidades con riesgos altos. En Fluid Attacks hacemos un cálculo simple con la severidad CVSS, el estándar de industria más usado para valorar vulnerabilidades, y entregamos a nuestros clientes una medida de exposición al riesgo a nivel organizacional y de sistema que permite dimensionar más acertadamente qué tan peligrosas son las vulnerabilidades que hallamos”.
Para ilustrar lo anterior, de las más de 33 mil vulnerabilidades que se detectaron en las aplicaciones en el periodo en cuestión, alrededor de un 75% de ellas eran de severidad baja y solo un 3,3% eran de severidad alta. No obstante, fueron estas últimas las que representaron casi el 73% del total de exposición al riesgo en estos objetivos de evaluación. Es cierto que las vulnerabilidades de severidad baja fueron más numerosas, pero en términos de exposición al riesgo no llegaron siquiera a representar un 2% del total.
Las técnicas manuales detectan los mayores riesgos
Un resultado destacado dentro de este reporte es que el manual penetration testing de Fluid Attacks detectó casi un 68% del total de la exposición al riesgo en contraste con las técnicas automáticas. De hecho, 100% de las vulnerabilidades de severidad crítica fueron identificadas manualmente por su equipo de hackers éticos. Este hecho da cuenta de la oferta de valor de Fluid Attacks: las pruebas de seguridad deben ir más allá del uso de herramientas automáticas, las cuales por sus limitaciones pueden equivocarse mucho en sus reportes (falsos positivos), omitir vulnerabilidades presentes (falsos negativos) y enfocarse en las menos severas. Es necesario implementar hacking ético en las pruebas de seguridad de los sistemas para evitar que una falsa sensación de seguridad guíe las decisiones de las organizaciones.
Romper el build motiva a remediar vulnerabilidades rápidamente
Otro resultado importante es la reducción de los tiempos de remediación de vulnerabilidades gracias a la estrategia de romper el build con la ayuda de Fluid Attacks. Cuando las organizaciones usan esta estrategia en sus ciclos de desarrollo de software, ven interrumpidos sus despliegues de tecnología si esta aún posee vulnerabilidades abiertas. Es por eso que se ven más impulsadas a remediarlas con prontitud en comparación con aquellas que no usan dicha estrategia y que se permiten llevar tecnología vulnerable a producción. Así, en el periodo del reporte, las organizaciones que rompieron el build tardaron en promedio casi un 30% menos tiempo en solucionar las vulnerabilidades que aquellas que no lo hicieron.
Más y más software con vulnerabilidades conocidas
Dentro del State of Attacks 2022, el problema de seguridad más común entre los sistemas evaluados es el uso de software con vulnerabilidades conocidas, tal como lo fue en el State of Attacks 2021. Casi un 75% de los sistemas presentaron este tipo de vulnerabilidad para la que usualmente se debe responder con la actualización del software afectado; precisamente, se encontró que uno de los requisitos de seguridad más incumplido dentro del periodo fue el de verificar las versiones de los componentes de software de terceros. Por su presencia en casi todos los sistemas, una altísima persistencia (cantidad de casos particulares en el periodo) y un puntaje promedio de CVSS por encima de 6,0, este tipo de vulnerabilidad fue la que mayor exposición al riesgo representó para las organizaciones involucradas.
Estos son solo algunos de los hallazgos presentados dentro del State of Attacks 2022 que pueden resultar útiles para las organizaciones que reconocen la importancia de la ciberseguridad. Como concluye Julián Arango, “estos datos les permitirán establecer mejores objetivos, en gran medida relacionados con el desarrollo de software seguro y la rápida remediación de vulnerabilidades, para mantener sus sistemas e información suficientemente protegidos y que el negocio y las operaciones no se vean interrumpidos ni afectados por ningún tipo de incidente”.