US-CERT informa 17.447 vulnerabilidades registradas en 2020



Esto marca el cuarto año consecutivo en que se ha descubierto un número récord de vulnerabilidades, después de 17.306 en 2019.

La foundation de datos de vulnerabilidades de US-CERT ha confirmado que se registraron 17.447 vulnerabilidades en 2020, lo que marca el cuarto año consecutivo con un número récord de fallas de seguridad publicadas.

El 15 de diciembre de 2020, los funcionarios informó Este año, 4.168 vulnerabilidades de gravedad alta, 10.710 vulnerabilidades de gravedad media y 2.569 vulnerabilidades de gravedad baja. En 2019, se publicaron 17.306 fallas: 4337 de gravedad alta, 10956 de gravedad media y 2.013 vulnerabilidades de gravedad baja.

El aumento continuo plantea una pregunta: ¿Están los desarrolladores impulsando más código no seguro o los piratas informáticos de sombrero blanco están mejorando para encontrar vulnerabilidades? Dado el clima real y la creciente popularidad de los programas de recompensas por errores, los expertos sugieren que ambos factores podrían estar en juego.

Este año fue testigo de un crecimiento masivo en la seguridad de colaboración abierta. En su reciente informe «Priority A person», la firma de seguridad Bugcrowd informa un aumento del 50% en las presentaciones de vulnerabilidades en los últimos 12 meses en comparación con el año anterior. Estos informes de errores reflejan un aumento del 65% en los envíos P1 (las vulnerabilidades más críticas) y un aumento del 4% en la validez de los envíos.

«Los piratas informáticos están encontrando errores con mayor impacto y comunicándolos a las organizaciones afectadas con mayor precisión», escribió el fundador y director de tecnología, Casey Ellis, en un entrada en el weblog.

Las aplicaciones world-wide-web constituyen la mayoría de las vulnerabilidades reportadas, pero los datos de Bugcrowd muestran que otras categorías se están poniendo al día a medida que los piratas informáticos diversifican sus habilidades para seguir siendo competitivos en un espacio en constante crecimiento. Las presentaciones para todos los objetivos aumentaron en 2020 en distinct, las vulnerabilidades de la API se duplicaron y los errores descubiertos en los objetivos de Android se triplicaron este año, informan los investigadores.

La pandemia de COVID-19 obligó a los profesionales de la seguridad a entrar en modo de respuesta, y la industria estaba al principio preocupada por mantener las luces encendidas, cambiar las prácticas laborales y cambiar las prioridades de los proyectos. Sin embargo, a medida que la industria se acostumbró al trabajo remoto y pasó más tiempo en casa, Bugcrowd vio un aumento en la actividad: los pagos por errores críticos (P1) aumentaron un 31% entre el primer y el segundo trimestre de este año Los pagos de P2 aumentaron un 31% entre los trimestres dos y tres.

HackerOne confirmó hallazgos similares en su último «Informe de seguridad impulsado por piratas informáticos» a principios de este año. Más de un tercio de los 180.000 errores encontrados a través de HackerOne se informaron el año pasado. Los nuevos registros de piratas informáticos en la plataforma aumentaron un 59% y los informes de errores enviados aumentaron un 28% en los meses inmediatamente posteriores al inicio de la pandemia. informe de los investigadores. Las empresas que participan en la seguridad de crowdsourcing pagaron un 29% más de recompensas en el mismo período.

Este año ha obligado a muchas empresas a reconsiderar sus programas de divulgación de vulnerabilidades (VDP), que tradicionalmente se han centrado más en los activos de cara al cliente y las superficies de ataque. Ahora quieren más información sobre las debilidades de los sistemas o aplicaciones de terceros que los empleados utilizan con regularidad. Muchos VDP han crecido para incluir también sistemas de soporte empresarial back-end.

«No estaba ni cerca de la norma, y ​​eso se convirtió rápidamente en la norma en los últimos meses», dice el cofundador y director de tecnología de HackerOne, Alex Rice. «Las organizaciones reconocen que su superficie de ataque está evolucionando … Lo que antes pensaban que period su perímetro no es exactamente el perímetro».

La mayor participación en la seguridad de colaboración abierta sin duda ha impulsado el número de errores informados este año sin embargo, vale la pena señalar el efecto de la pandemia en el desarrollo de computer software. Muchas organizaciones han tenido que acelerar la producción de las aplicaciones, reduciendo los ciclos de control de calidad y confiando más en el código de fuente abierto, heredado y de terceros, dice Pravin Madhani, cofundador y CEO de K2 Cyber ​​Security.

«A pesar de la aparición de DevSecOps y enfoques de cambio a la izquierda, el número de vulnerabilidades en el código publicado sigue aumentando», dice. «Las empresas todavía luchan por encontrar el equilibrio entre llevar las aplicaciones al mercado rápidamente y asegurar su código».

Si el momento de la divulgación de vulnerabilidades resultó ser un desafío para su equipo de seguridad, no está solo. Tres veces en 2020, Microsoft y Oracle implementaron correcciones de seguridad el mismo día. Se lanzan más parches el martes de parches que cualquier otro día del mes, y este año ha sido importante solo para Microsoft: en ocho meses de 2020, la compañía lanzó más de 110 parches para sus productos y servicios en junio y septiembre, el recuento fue de 129 arreglos.

«Lo primero que pienso es simplemente el volumen», dice Dustin Childs de Zero Working day Initiative (ZDI) de Pattern Micro sobre las tendencias de Patch Tuesday. «Hay tantos parches de Microsoft es solo un año récord para ellos. Probablemente vamos a divulgar una cantidad récord de avisos en la ZDI».

Kelly Sheridan es la editora de personal de Dark Studying, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original