La mayoría de las organizaciones tienen una vulnerabilidad incompleta …



Las empresas que dependen únicamente de CVE / NVD carecen del 33% de las fallas reveladas, dice Possibility Based mostly Security.

Un nuevo informe muestra que las compañías que dependen únicamente del sistema de Vulnerabilidades y Exposiciones Comunes (CVE) para su información de vulnerabilidad se exponen a una cantidad sustancial de problemas de seguridad que no conocen.

Los investigadores de Chance Based Safety han identificado en lo que va del año 5.970 vulnerabilidades más que las reportadas en el CVE y la Foundation Nacional de Datos de Vulnerabilidad (NVD). De ellos, el 18,4% tenía una puntuación CVSS v2 que oscilaba entre 9 y 10, lo que significa que se consideraban críticos. Cuando también se contaron las vulnerabilidades con un índice de gravedad de 7 a 9, aproximadamente el 43.5% de las 5.970 fallas no reportadas en el sistema CVE / NVD fueron de alto riesgo o críticas. Las fallas que no figuran en CVE / NVD incluyen aquellas relacionadas con productos de los principales proveedores, incluidos Oracle, Microsoft y Google.

«Las organizaciones que confían en la inteligencia de vulnerabilidad están lidiando con un número alarmante de problemas que afectan todas las partes de su infraestructura», dice Brian Martin, vicepresidente de inteligencia de vulnerabilidad en Danger Centered Stability.

CVE y NVD solo incluyen vulnerabilidades que los vendedores e investigadores de seguridad les reportan directamente. Como resultado, miles de fallas que los investigadores descubren y revelan de otras maneras no se incluyen en CVE / NVD, dice. Según Hazard Based Safety, es possible que las organizaciones que dependen únicamente de CVE / NVD perder el 33% de todas las vulnerabilidades reveladas, de media.

Los investigadores pueden revelar vulnerabilidades de diferentes maneras y en diferentes lugares, desde sus propios blogs hasta uno de los millones de repositorios en GitHub. «GitHub actualmente tiene más de 100 millones de repositorios, y ese es solo un sitio único», señala Martin. «Teniendo en cuenta BitBucket, SourceForge, GitLab y muchos otros, la cantidad de lugares donde puede aparecer una vulnerabilidad es una locura».

Los investigadores pueden bloguear sobre un descubrimiento de vulnerabilidad, pero a menudo no publican en forma cruzada la divulgación en sitios de informes de vulnerabilidad conocidos como Bugtraq, Comprehensive-Disclosure o PacketStorm. «Cada semana encontramos alrededor de una docena de fuentes más como esta, así como el lanzamiento de nuevo computer software, o software program y bibliotecas de terceros», dice Martin.

En whole, el equipo de VulnDB de Possibility Primarily based Security acumuló 16.738 vulnerabilidades de seguridad en los primeros tres trimestres de 2019. Casi la mitad – 48% – tenía un puntaje de gravedad que oscilaba entre 6 y 10. De manera problemática, había disponible código de explotación o código de prueba de concepto para El 39% de los defectos revelados que los investigadores de Threat Based Safety contaron para ese período de tiempo.

Oracle encabezó la lista de organizaciones con las vulnerabilidades de seguridad más reportadas. Los datos de Danger Primarily based Protection mostraron que la compañía reportó 969 fallas de seguridad en sus productos entre el 1 de enero y fines de septiembre. Google, con 945 defectos, y SUSE, con 812 defectos, estaban en segundo y tercer lugar, respectivamente.

Tanto Oracle como Google subieron en la lista de los 10 principales de Threat Based Stability el año pasado, Oracle ocupó el tercer lugar y Google ocupó el cuarto lugar entre las compañías que revelaron la mayor cantidad de vulnerabilidades de seguridad en sus productos. SUSE mejoró de encabezar la lista el año pasado a pasar al tercer lugar hasta ahora en 2019. Mientras tanto, Microsoft, que a menudo se percibe que informa más vulnerabilidades que otros, estaba en el noveno lugar con 485 vulnerabilidades, mientras que Cisco llegó al décimo lugar con 390 vulnerabilidades

Al igual que el año pasado, la mayoría de los errores revelados (10,868) en los últimos tres trimestres afectaron la integridad del sistema. Alrededor de 1.800 afectaron la disponibilidad y algo más de 2.600 estaban relacionados con la confidencialidad.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más strategies





Enlace a la noticia primary