Las organizaciones continúan luchando con las aplicaciones Vulns


Un nuevo estudio muestra que un alto porcentaje de errores descubiertos permanece sin remedio durante mucho tiempo.

Hay muchas posibilidades de que casi todas las aplicaciones que utiliza una organización tengan al menos una vulnerabilidad de seguridad.

Distinction Security analizó recientemente la telemetría recopilada entre junio de 2019 y mayo de 2020 a partir de aplicaciones en desarrollo, pruebas y operaciones en ubicaciones de clientes. El ejercicio encontró que el 96% de las aplicaciones contenían al menos un mistake de seguridad, más de una cuarta parte de ellas graves. El when por ciento de las aplicaciones analizadas tenían seis o más vulnerabilidades graves.

Como de costumbre, los errores de secuencias de comandos entre sitios, el command de acceso interrumpido y los errores de inyección SQL encabezaron la lista de vulnerabilidades graves que encontraron los investigadores de Distinction. Más de siete de cada 10 (72%) tenían vulnerabilidades de configuración inseguras y el 64% eran vulnerables a la exposición de datos confidenciales.

La investigación de Contraste muestra que los atacantes están investigando implacablemente estas vulnerabilidades para intentar ingresar a las aplicaciones. La compañía contó más de 13,000 ataques por mes en promedio contra aplicaciones individuales, el 98% de las cuales fueron solo sondas que no afectaron una vulnerabilidad existente. El contraste contó con un fuerte aumento, 179% respecto al año anterior, en ataques dirigidos a vulnerabilidades de inyección de comandos en distinct. Aunque tales fallas son raras, son fáciles de escanear y permiten a los atacantes tomar el management completo de un servidor de aplicaciones world wide web, dice Jeff Williams, cofundador y CTO de Distinction Stability.

«Las empresas deben reconocer que sus aplicaciones son vulnerables y están (bajo) ataque», dice Williams. «Los datos muestran que los atacantes son persistentes y utilizan una estrategia inteligente al atacar las vulnerabilidades más frecuentes, con un enfoque especial en las vulnerabilidades con el impacto más crítico».

Gran parte del tráfico de ataque es generado por herramientas automatizadas y, afortunadamente, nunca se conecta con la vulnerabilidad correspondiente.

«(Son) como rocas arrojadas a un edificio que no golpean una ventana», dice.

Contraste encontrado Muchas organizaciones continúan luchando con la corrección de vulnerabilidades. El tiempo medio para remediar una falla fue de 67 días para todas las vulnerabilidades y 36 días para las graves. La compañía descubrió que el 50% de las vulnerabilidades se corrigen en siete días y el 62% de las graves en solo tres días.

Pero el tiempo que las organizaciones están tomando para abordar los defectos restantes tiende a ser mucho más largo. De hecho, Contrast descubrió que si una organización no remediaba una vulnerabilidad descubierta dentro de los primeros 30 días, la vulnerabilidad tendía a quedar sin resolver incluso después de 90 días. De hecho, incluso el 65% de las fallas graves que no fueron remediadas tendieron a permanecer sin remedio después de 90 días, lo que aumenta el riesgo para las organizaciones.

«Una vez que una vulnerabilidad sobrevive los primeros 30 días, es más probable que quede en una cartera», dice Williams.

Alguien podría optar por no remediar inmediatamente una falla porque tiene otro manage de mitigación en su lugar. «Pero a veces los equipos de desarrollo simplemente ignoran las vulnerabilidades y permanecen sin reparar durante largos períodos de tiempo», señala Williams.

Cómo priorizar la remediación
Joseph Feiman, director de estrategia de WhiteHat Security, cita también otras razones para que las organizaciones se esfuercen por remediar la vulnerabilidad.

«Si la herramienta de prueba de seguridad de la aplicación no es precisa y develop demasiados falsos positivos, los desarrolladores tardarán demasiado tiempo en determinar cuáles priorizar», dice.

Feiman dice que la forma en que las organizaciones deben priorizar sus esfuerzos de remediación es considerar la gravedad de una falla revelada, determinar cuán crítica es la aplicación susceptible para el negocio y determinar qué tan difícil es para un pirata informático detectar y explotar el problema.

Varias organizaciones cuentan con políticas y procedimientos de gestión de vulnerabilidades basados ​​en la gravedad que establecen la velocidad a la que se solucionan los problemas, dice David Faraone, director y CISO digital del Grupo Crypsis.

«Por ejemplo, una declaración de política puede indicar que para cualquier vulnerabilidad con un puntaje CVSS de 9. o remarkable, las organizaciones tienen un procedimiento de emergencia para parchar el 100% de estos asuntos identificados en 24 horas», dice.

Otros pueden tener umbrales de riesgo más altos según el tipo de activo o sistema que se ve afectado.

«Por ejemplo, el objetivo de gestión de vulnerabilidades de una organización puede tener el objetivo de parchar el 90% de todos los servidores dentro de las dos semanas posteriores a la identificación de la vulnerabilidad que afecta esa categoría del sistema», agrega Faraone.

En última instancia, es la madurez del equipo de seguridad lo que determina qué tan bien, o no, una organización está en la reparación de vulnerabilidades, dice Faraone.

«Un precursor que a menudo se pasa por alto para la gestión de riesgos críticos es tener un programa formal de gestión de riesgos cibernéticos en un lugar que cuente con el respaldo del liderazgo outstanding», dice.

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio net de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia unique