La pandemia llevó inicialmente a menos divulgación …



La divulgación de vulnerabilidades comenzó lentamente, pero se recuperó a finales de año, según un nuevo informe.

La cantidad de vulnerabilidades reveladas al público inicialmente disminuyó en 2020 pero, a finales de año, alcanzó el 1% del número full de fallas reportadas en 2019, según datos publicados el jueves por Threat Primarily based Stability, una vulnerabilidad. firma de inteligencia.

En typical, las empresas y los investigadores publicaron información sobre al menos 23,269 fallas de program en 2020, pero la cantidad de vulnerabilidades reportadas inicialmente estuvo por detrás de las cifras del año anterior en más del 10% en el primer trimestre. Si bien el motivo de la interrupción inicial en el número de problemas reportados sigue sin estar claro, una variedad de factores podrían haber entrado en juego, desde despidos de investigadores de seguridad, hasta trabajo de seguridad adicional, hasta interrupciones en el proceso de informes, dice Brian Martin, vicepresidente. de inteligencia de vulnerabilidades en seguridad basada en riesgos.

«Las estadísticas apoyan que COVID influyó en la divulgación hasta cierto punto», dice Martin. «Todavía no sabemos cómo, ni de qué manera, ya sea por trabajo desde casa o despidos. Hay muchas cosas que podrían haber afectado las divulgaciones de vulnerabilidades».

Además de documentar los efectos de la pandemia en la divulgación de vulnerabilidades, el informe anual También descubrió que los investigadores se habían centrado cada vez más en encontrar problemas de seguridad en los sistemas operativos centrales de Microsoft. En 2020, cuatro versiones del sistema operativo Home windows se ubicaron en la lista de las 10 principales por vulnerabilidades reportadas, una reversión desde 2019, cuando ningún producto de Home windows estaba en la lista.

«Home windows fue lo más destacado», dice Martin. «Los aumentos están definitivamente en línea con lo que vimos en términos de aumento de los martes de parches».

Los martes de parches son el segundo martes del mes, en el que Microsoft tradicionalmente, desde 2003, lanza parches regularmente. Otros proveedores de computer software, como Adobe y Oracle, a menudo lanzan el mismo día. Cuando un puñado de proveedores lanza parches, los administradores de seguridad pueden tener que lidiar con la aplicación de actualizaciones para cerrar cientos de vulnerabilidades. El 14 de abril de 2020, por ejemplo, los proveedores lanzaron parches para 522 problemas, según Hazard Based Safety.

El creciente número de vulnerabilidades genera preocupaciones sobre cuánto han dado sus frutos los esfuerzos de seguridad, dice Martin. Microsoft implementó su ciclo de vida de desarrollo seguro (SDLC), instituyó recompensas de errores y realizó pruebas más automatizadas, pero el número elevado y constante de vulnerabilidades sugiere que dichos procesos no están teniendo tanto impacto. Una explicación alternativa es que la base de código se ha expandido, de modo que un código aún más limpio da como resultado una meseta general en el número de problemas.

«La pregunta que mucha gente se hace es: ¿Dónde está este pastizal más verde, cuando todo nuestro trabajo da sus frutos y tenemos menos vulnerabilidades?» él dice.

Las noticias no son del todo malas. Las vulnerabilidades reportadas generalmente se solucionan más rápidamente y explotar los problemas se ha vuelto más difícil, dice Martin. «Hasta cierto punto, está funcionando por lo basic, explotar una sola vulnerabilidad no es suficiente. En cambio, se necesitan encadenar exploits para tres vulnerabilidades juntas, pero la cantidad de vulnerabilidades no ha disminuido», dice.

La seguridad basada en riesgos generalmente descubre más problemas de los que se registran en la foundation de datos nacional de vulnerabilidades (NVD), una colección en línea, mantenida por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), de información de fallas de program a las que se les ha asignado una vulnerabilidad y exposiciones comunes. (CVE) identificador.

En los últimos cuatro años, impulsado por cambios en el proceso CVE, la cantidad de vulnerabilidades agregadas al NVD se disparó cada año, más del doble en 2017 hasta los 14,600 problemas reportados, en comparación con los casi 6,500 problemas del año anterior. Desde entonces, el volumen de vulnerabilidades ha aumentado lentamente, alcanzando 18,353 fallas publicadas en 2020.

La seguridad basada en riesgos ha publicado un volumen aproximadamente very similar de vulnerabilidades durante los últimos cuatro años, que van desde 22,665 en 2017 hasta un máximo de 23,508 en 2018.

La compañía señala que se están reportando más vulnerabilidades en los sistemas operativos y aplicaciones móviles. El software móvil de Android y Google ha llegado a la lista de los 10 principales sistemas operativos vulnerables.

«Ese pequeño teléfono que lleva en su bolsillo ahora tiene tantas vulnerabilidades como los grandes sistemas de application», dice Martin. «Es cada vez más importante que parche sus dispositivos lo antes posible».

Para las empresas, el área de superficie de vulnerabilidad en expansión significa que, sin priorización, las empresas ahora están teniendo dificultades para enfocarse en las vulnerabilidades que representan el mayor riesgo, dice.

«Entonces, todavía nos queda un juego de golpear al topo», dice Martin, «donde hay que priorizar las vulnerabilidades y confiar en la defensa en profundidad para asegurarse de que cualquier compromiso se detenga rápidamente».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking at, MIT&#39s Technological innovation Review, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first