Las empresas aún luchan por priorizar la seguridad …



La deuda de seguridad continúa acumulándose, y el 42% de las organizaciones atribuyen los retrasos en la reparación a una infracción, muestra un nuevo estudio.

La mayoría de las empresas no pueden mantenerse al día con la afluencia de vulnerabilidades que afectan su software package e infraestructura: cada seis meses, la empresa promedio no repara el 28% de las vulnerabilidades en su components y software package, lo que genera una acumulación de más de 57,000 problemas de seguridad sin resolver. un nuevo estudio encontrado.

Tal «deuda» de seguridad deja a las empresas vulnerables, según el estudio del Ponemon Institute, que fue publicado hoy por IBM. Más de la mitad de las organizaciones sufrieron una violación de seguridad el año pasado, y el 42% de los encuestados culpa de la violación a una vulnerabilidad de seguridad conocida pero no parcheada. Además, la mayoría de las empresas (57%) no han identificado qué vulnerabilidades representan un riesgo más alto, y solo una cuarta parte de las empresas están priorizando las vulnerabilidades en función del impacto comercial.

El problema subyacente es que una vez que los sistemas automatizados han identificado las vulnerabilidades, el proceso de priorización y parcheo es mayormente handbook, lo que ralentiza la respuesta de una organización, dice Charles Henderson, socio gerente international y jefe del equipo de servicios de ciberseguridad de IBM, X-Force Purple.

«Piensas en la gestión de vulnerabilidades como &#39encontrar una falla, arreglar una falla&#39», dice. «El problema es que nos hemos vuelto realmente buenos en la búsqueda de fallas y no hemos visto … como industria, la misma atención que se presta a corregir las cosas que encontramos».

Los parches continúan siendo un problema importante para la mayoría de las empresas. Solo el 21% de las organizaciones parchean las vulnerabilidades de manera oportuna, según la encuesta. Más de la mitad de las empresas no pueden rastrear fácilmente la eficiencia con la que se reparan las vulnerabilidades, no tienen suficientes recursos para reparar el volumen de problemas ni tienen una forma común de ver los activos y las aplicaciones en toda la empresa. Además, la mayoría de las organizaciones no tienen la capacidad de tolerar el tiempo de inactividad necesario.

En standard, la mayoría de las empresas se enfrentan a desafíos importantes para parchear las vulnerabilidades de software, según la encuesta a 1.848 TI y profesionales de TI realizada por el Ponemon Institute para su Estado de la gestión de vulnerabilidades en la nube y en las instalaciones reporte.

«Creo que se debe al hecho de que tenemos un problema con las expectativas de establecimiento de niveles dentro de las organizaciones, la comprensión de los procesos y una falla en la comunicación entre los responsables de mantener las cosas parcheadas y las respuestas para mantener los sistemas en funcionamiento», dice Henderson. «No están necesariamente alineados en términos de objetivos».

La empresa promedio en el estudio identificó casi 780,000 vulnerabilidades durante un período de seis meses y no logró mitigar más de 57,000, o el 28%, de los problemas. Las organizaciones están utilizando cada vez más metodologías de desarrollo ágiles, y los signos de eso están en el informe: aproximadamente un tercio de las empresas escanean aplicaciones y sistemas al menos a diario en busca de vulnerabilidades.

Sin embargo, con tantas vulnerabilidades, las empresas necesitan una forma de reducir el rebaño de problemas de seguridad a un nivel manejable. Más de un tercio de las empresas (38%) priorizan los resultados según el puntaje del Frequent Vulnerability Scoring Method (CVSS), que investigaciones previas han demostrado ser un método de priorización poco confiable. Un número ligeramente menor, el 37%, de empresas están priorizando en función de las vulnerabilidades que los atacantes han armado, según el informe. Una cuarta parte de las organizaciones priorizan en función de los activos más importantes para el negocio y qué vulnerabilidades afectan esos recursos críticos.

«La priorización es el punto débil», dice Henderson. «Creemos que una combinación de enriquecimiento de activos junto con un modelo que se centra en la explotabilidad, los elementos comunes y la comerciabilidad de las vulnerabilidades es clave».

La comerciabilidad incluye la probabilidad de que un exploit termine en una herramienta de piratería automatizada o un package de exploit, explica.

Además de la priorización, el estudio encontró que a las empresas les faltaban algunos componentes clave de la infraestructura en sus esfuerzos de seguridad.

La falla en evaluar los contenedores y probar el software program encapsulado en busca de vulnerabilidades de seguridad, por ejemplo, es otro desafío al que se enfrentan las empresas. La mayoría de las empresas (57%) no evaluaron el diseño de los contenedores para ver si se crearon de forma segura, y un número comparable no analizó los contenedores en busca de problemas de seguridad.

Si bien las empresas continúan moviéndose hacia procesos que producen software e infraestructura más seguros, el cumplimiento, no la seguridad, sigue siendo una fuerza impulsora para muchas empresas, dice Henderson.

«Las organizaciones se centran en cumplir los requisitos de cumplimiento con la gestión de vulnerabilidades en lugar de eliminar las vulnerabilidades», dice. «La gente está tan concentrada en lo que dicen sus evaluaciones de desempeño o lo que dicen sus informes de cumplimiento, pero para cumplir con esas marcas, están sacrificando la seguridad».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technological know-how Review, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary