Cuando se corrigen fallas de seguridad, lo más inteligente triunfa más rápido



Las organizaciones que utilizan el Sistema de puntuación de vulnerabilidad común (CVSS) para priorizar la aplicación de parches a las vulnerabilidades de seguridad del software program reducen su potencial de explotación en comparación con la solución aleatoria de problemas, pero no mucho. Un nuevo estudio muestra que es mejor centrarse en si se han creado exploits para las fallas del application.

El análisis, realizado por la firma de gestión de vulnerabilidades Kenna Safety y el grupo de ciencia de datos Cyentia Institute, investigó si una variedad de factores pueden ayudar a determinar la mejor estrategia para remediar las vulnerabilidades, utilizando información de los informes de vulnerabilidades, el impacto que esas vulnerabilidades tienen en las empresas reales, y si se ha publicado código de explotación para los problemas.

Además de analizar los datos, las empresas realizaron simulaciones para determinar el impacto de diferentes estrategias para priorizar la remediación de vulnerabilidades.

Si bien la clasificación de problemas por CVSS cut down la explotabilidad de dos a seis veces más que una estrategia aleatoria, dependiendo de la rapidez con la que una empresa pueda remediar las fallas, la priorización por la existencia de código de explotación lessen la explotabilidad en un issue de 22 a 29, según el análisis. .

«Si no pudiera hacer nada más… comience con el código de explotación», dice Ed Bellis, cofundador y director de tecnología de Kenna Stability. «Si observa las vulnerabilidades que tiene que tienen un código de explotación disponible para ellas, eso reducirá inmediatamente su riesgo con solo remediarlas».

Las estrategias de remediación son importantes para las empresas, porque con más de 20.000 vulnerabilidades Al iniciar sesión en la base de datos nacional de vulnerabilidades en 2021, las empresas tienen pocas posibilidades de solucionar rápidamente todos los problemas. De hecho, la empresa promedio solo repara alrededor del 15 % de las fallas en su entorno cada mes, mientras que las tres cuartas partes de las empresas reparan menos del 27 % de las vulnerabilidades en sus sistemas, afirman las empresas en su informe, «Priorización a la predicción: medición y minimización de la explotabilidad

Reparar fallas más rápido decrease la posibilidad de explotación, pero las empresas con altas «capacidades de remediación» no necesariamente están solucionando los problemas correctos, según el informe.

«[M]minimizar la explotabilidad no es solo una cuestión de hacer más o hacerlo más rápido”, afirma el informe.[S]Algunas empresas de baja capacidad logran lograr una baja explotabilidad, algunas con alta capacidad de remediación aún son relativamente explotables y otras se encuentran en cualquier punto intermedio».

Menciones de Twitter y otras «métricas»

En 2021, la proporción de vulnerabilidades existentes en los entornos de las empresas representó aproximadamente entre una quinta y una cuarta parte del overall informado para el año, cayendo significativamente en comparación con los cuatro años anteriores, según datos recopilados por Kenna y Cyentia. Sin embargo, la proporción de vulnerabilidades tanto existentes en entornos corporativos como con código de explotación conocido se lessen al 4% del whole.

Al priorizar estos problemas, las empresas pueden parchear el software package que representa el mayor riesgo, dice Bellis.

«Si piensas en todos los CVE [vulnerabilities] en la foundation de datos nacional de vulnerabilidades, hay muchas cosas que se aplican al application que las empresas y las empresas simplemente no ejecutan está basado en el consumidor, por ejemplo», dice. «O podría ser una clase de vulnerabilidades que las empresas no están escaneando o no están buscando: una oscura vulnerabilidad de software package de IoT que en realidad tienen pero no la están buscando».

El Typical Vulnerability Scoring System es una forma de calificar la gravedad potencial de una vulnerabilidad. Sin embargo, los atacantes suelen estar impulsados ​​por estrategias que minimizan el esfuerzo, por ejemplo, utilizando código de explotación ya existente. Por lo tanto, tiene sentido priorizar las vulnerabilidades que tienen un código de explotación existente.

El análisis encontró que priorizar el parcheo de problemas por parte de CVSS solo mejora una estrategia aleatoria en una pequeña cantidad incluso aplicar primero el program más fácil de parchear mejora una estrategia basada en CVSS.

«Creo que las cosas que busca CVSS son puntos de datos interesantes y buenos para recopilar, pero el problema es que las personas solicitan una puntuación y, cuando se aplica, la usan incorrectamente, como un riesgo», dice Jay Jacobs. , fundador y científico de datos en jefe de Cyentia Institute. «No quiero que desaparezca, pero podríamos reducir la puntuación por completo y usar otras formas de priorización».

De hecho, usar el número de menciones de Twitter mejora tanto las estrategias basadas en CVSS como las más fáciles de parchear primero, según el informe. Centrarse en las vulnerabilidades que se observan más en un entorno specific es la siguiente mejor estrategia. Sin embargo, priorizar por la existencia de código de explotación es una mejora significativa en las otras cuatro estrategias.

«[V]la gestión de la vulnerabilidad no es un ciclo sin sentido e interminable de encontrar y arreglar”, según el informe. “Las organizaciones tienen un gran handle sobre su superficie de ataque a través de las estrategias y capacidades que emplean”.



Enlace a la noticia primary