El reporte anual “State of Attacks” de Fluid Attacks da a conocer resultados de las pruebas de seguridad, recogidos durante un año, que las empresas pueden considerar para planear acciones que mitiguen riesgos de ciberataques.
Este reporte 2022 da mayor relevancia a la exposición al riesgo que a la cantidad de vulnerabilidades. De acuerdo con Julián Arango Chief Experience Officer en Fluid Attacks:
“Son muchas las organizaciones que aún asocian pequeñas cantidades de vulnerabilidades con riesgos bajos, y grandes cantidades con riesgos altos. En Fluid Attacks hacemos un cálculo simple con la severidad CVSS, el estándar de industria más usado para valorar vulnerabilidades. Entregamos a nuestros clientes una medida de exposición al riesgo a nivel organizacional y de sistema que permite dimensionar con más acierto qué tan peligrosas son las vulnerabilidades que hallamos”.
Según el nuevo estudio, de las más de 33 mil vulnerabilidades que se detectaron en las aplicaciones durante un año, alrededor de un 75% de ellas eran de severidad baja y solo un 3,3% eran de severidad alta. No obstante, fueron estas últimas las que representaron casi el 73% del total de exposición al riesgo en estos objetivos de evaluación.
Es cierto que las vulnerabilidades de severidad baja fueron más numerosas, pero en términos de exposición al riesgo no llegaron siquiera a representar un 2% del total.
El reporte anual “State of Attacks” es un recurso que permite a las organizaciones interesadas en su ciberseguridad comparar sus posturas de seguridad y reconocer qué es aquello a lo que más deberían prestar atención para prevenir ataques de ciberdelincuentes”.
El State of Attacks 2022 entrega un resumen y análisis de resultados de las pruebas de seguridad efectuadas sobre los sistemas de los clientes de Fluid Attacks durante un periodo de un año.
El servicio a partir del cual se tomaron la mayoría de los resultados es Hacking Continuo, en el cual son evaluados continuamente infraestructura de TI, aplicaciones o código fuente a través de un enfoque integral que comprende métodos manuales y automatizados para la detección de vulnerabilidades de seguridad.
Técnicas manuales detectan los mayores riesgos
Un resultado destacado dentro de este reporte es que el manual penetration testing de Fluid Attacks detectó casi un 68% del total de la exposición al riesgo en contraste con las técnicas automáticas. De hecho, 100% de las vulnerabilidades de severidad crítica fueron identificadas manualmente por su equipo de hackers éticos.
Este hecho da cuenta de la oferta de valor de Fluid Attacks: las pruebas de seguridad deben ir más allá del uso de herramientas automáticas, las cuales por sus limitaciones pueden equivocarse mucho en sus reportes (falsos positivos), omitir vulnerabilidades presentes (falsos negativos) y enfocarse en las menos severas. Es necesario implementar hacking ético en las pruebas de seguridad de los sistemas para evitar que una falsa sensación de seguridad guíe las decisiones de las organizaciones.
Más software con vulnerabilidades conocidas
Dentro del State of Attacks 2022, el problema de seguridad más común entre los sistemas evaluados es el uso de software con vulnerabilidades conocidas, tal como lo fue en el State of Attacks 2021. Casi un 75% de los sistemas presentaron este tipo de vulnerabilidad para la que usualmente se debe responder con la actualización del software afectado; precisamente, se encontró que uno de los requisitos de seguridad más incumplido dentro del periodo fue el de verificar las versiones de los componentes de software de terceros.
Por su presencia en casi todos los sistemas, una altísima persistencia (cantidad de casos particulares en el periodo) y un puntaje promedio de CVSS por encima de 6,0, este tipo de vulnerabilidad fue la que mayor exposición al riesgo representó para las organizaciones involucradas.
