Vladimir Villa, CEO de Fluid Attacks.
Fluid Attacks, empresa experta en el desarrollo de soluciones de ciberseguridad, dio a conocer hace unos días su reporte State of Attacks 2021. En este se evidencian, entre otras cosas, las vulnerabilidades de seguridad más reportadas en los sistemas que evaluaron durante el año anterior, la manera como las organizaciones se enfrentaron a ellas y sus tiempos de remediación, además de las reglas de seguridad comúnmente incumplidas entre las compañías involucradas.
Para Vladimir Villa, CEO de Fluid Attacks, “durante el último año se confirmó un mayor interés por parte de las organizaciones en la implementación de pruebas continuas dentro del ciclo de vida de desarrollo de software como un método efectivo para evitar ser víctimas de ataques cibernéticos. Sin embargo, en general, todavía existe un amplio margen para mejorar en la ciberseguridad empresarial, sobre todo en lo que respecta al tiempo de reparación de los problemas que se detectan y a la incorporación y aplicación de estándares de seguridad”.
Adoptar un enfoque ágil en ciberseguridad resulta más importante que nunca. Al escalar algunas prácticas las compañías pueden ahorrar tiempo y evitar perder dinero durante su actividad de negocio, además de aprovechar los recursos con los que cuentan para generar ventajas competitivas en la gestión de su protección.
Fluid Attacks llevó a cabo un exhaustivo análisis sobre los resultados obtenidos en un año de hacking ético en todo el continente. Su reporte permite comprender el tipo de prácticas que están adoptando las organizaciones para responder a las fallas de seguridad en sus sistemas, pensando en unos posibles ataques. Estos fueron los 6 principales hallazgos:
Los sistemas bajo hacking continuo crecieron un 121%: En 2020, las organizaciones aprovecharon el potencial de las pruebas integrales de alta velocidad para gestionar de manera efectiva las vulnerabilidades identificadas. “Gracias a esta práctica se puede ayudar a evitar pérdidas potenciales en las operaciones comerciales. Con este enfoque, las filtraciones de datos, las interrupciones y las violaciones de confidencialidad, pueden prevenirse con mayor nivel de efectividad”, explicó el CEO de Fluid Attacks.
La notificación de vulnerabilidades aumentó: En la totalidad de los sistemas analizados se reportaron 32% más vulnerabilidades de seguridad que en el año anterior. Asimismo hubo un crecimiento del 25% en la cantidad promedio de vulnerabilidades detectadas por sistema. “Las vulnerabilidades no solo crecieron en conjunto, sino dentro de cada sistema evaluado. Los cambios acelerados en los sistemas suelen ser propensos a fallas de seguridad; para contrarrestarlas, Fluid Attacks actúa como línea preventiva fiable en entornos ágiles”, comenta Vladimir Villa. Los informes que Fluid Attacks entrega a sus clientes permiten que los equipos de desarrollo de esas compañías identifiquen los errores más comunes en la construcción de software y que los grupos de seguridad cuenten con soporte tanto para la evaluación como para la mitigación de riesgos.
Crecimiento de las vulnerabilidades notificadas en hacking continuo: La cantidad de vulnerabilidades notificadas a partir de esta metodología creció en un 14% respecto al año anterior. “Una compañía obtiene amplios beneficios cuando consigue deshacerse rápidamente de las vulnerabilidades y no cuando lo único que logra es encontrar montones y montones de ellas”, dice el vocero de Fluid Attacks.
No dejan de aparecer vulnerabilidades de severidad alta o crítica: El 46.5% de los sistemas analizados con hacking continuo reportaron al menos una vulnerabilidad de severidad alta o crítica. Además, se encontró que el 28% de las vulnerabilidades de severidad alta y el 36% de las de críticas permanecieron abiertas al menos tres meses después de su detección. Son valores muy altos para problemas de seguridad que de ser aprovechados por hackers maliciosos podrían generar impactos significativos en las empresas. Por supuesto, no se trata de problemas que escasean, tal como informó Computer Weekly, durante el 2020 la proporción de vulnerabilidades altas y críticas presentadas al NIST (National Institute of Standards and Technology) representó el 57% del total de los casos.
Proporción de reparaciones en aumento: La proporción de reparaciones durante el año anterior aumentó en un 36% en todos los sistemas analizados en comparación con 2019. Solo para los correspondientes al hacking continuo, las reparaciones crecieron en un 25%; incremento impulsado principalmente por este tipo de control, que con su enfoque enciende la motivación de las organizaciones para realizar algún tipo de corrección. “Muchas compañías están acogiendo un nuevo paradigma en ciberseguridad. Están pasando de concentrarse en la detección de vulnerabilidades críticas con pruebas sobre aplicaciones ya desplegadas a centrarse en los tasas de remediación con pruebas situadas en las primeras fases de desarrollo de software. Este es un logro extraordinario pero que aún necesita mayor recibimiento en multiplicidad de industrias”, explicó el ejecutivo.
Detener la construcción implica menores tiempos de remediación: Las organizaciones que lograron “detener la construcción” (breaking the build) es decir, impedir que las aplicaciones fueran desplegadas con vulnerabilidades ya identificadas, mostraron una significativa ventaja en el tiempo transcurrido entre la detección de una vulnerabilidad y su remediación con respecto a aquellas que no aplicaron la técnica. Para las que la aplicaron, la mediana de tiempo en reparación de las fallas de seguridad apenas presentó una variación de 62 a 64 días; en cambio, para las demás, este rango aumentó de 95 a 116 días. La brecha de tiempos de remediación entre estos dos grupos creció en un 67%.
“Los hackers éticos desempeñan un papel crucial en la detección de las vulnerabilidades de seguridad más graves en los sistemas y aplicaciones de las organizaciones. Para este período de análisis, nuestros hackers éticos con su trabajo manual encontraron alrededor del 81% de las vulnerabilidades de severidad alta y crítica. En otras palabras, si este tipo de evaluaciones se dejara en manos únicamente de las herramientas automatizadas, podrían pasarse por alto grandes cantidades de vulnerabilidades, que de ser explotadas por los criminales tendrían impacto enorme sobre las operaciones y los activos de información de una empresa. Los falsos negativos siguen acarreando pérdidas multimillonarias a diversas organizaciones a nivel mundial”, concluyó Vladimir Villa.