El número de vulnerabilidades de seguridad alcanza un récord por quinto año consecutivo
Parchar fallas de seguridad es una tarea desafiante y aparentemente interminable para profesionales de TI y seguridad. Y ese trabajo se vuelve aún más difícil cada año a medida que aumenta la cantidad de nuevas vulnerabilidades de seguridad. Según las últimas estadísticas de la Base de Datos de Vulnerabilidades del Instituto Nacional de Estándares y Tecnología (NIST), el volumen de fallas de seguridad ha alcanzado un récord por quinto año consecutivo.
A partir del 9 de diciembre de 2021, el número de vulnerabilidades encontradas en el código de producción durante el año es de 18,400. Desglosando esa estadística para 2021 hasta el momento, el NIST registró 2,966 vulnerabilidades de bajo riesgo, 11,777 de riesgo medio y 3,657 de alto riesgo.
El aumento constante de las vulnerabilidades
¿Por qué sigue aumentando el número de vulnerabilidades? En una publicación de blog publicada el miércoles, Pravin Madhani, CEO y cofundador del proveedor de seguridad K2 Cyber Security, ofreció algunas reflexiones.
Para este año, la pandemia del coronavirus continuó impulsando a muchas organizaciones a avanzar agresivamente en la transformación digital y la adopción de la nube, lo que potencialmente apresuró sus aplicaciones hacia la producción, dijo Madhani. Esto significa que el código de programación puede no haber pasado por tantos ciclos de pruebas de aseguramiento de la calidad. También significa que muchos desarrolladores podrían haber utilizado más código de terceros, heredado y de código abierto, otro posible factor de riesgo de fallas de seguridad. Al final, las organizaciones pueden haber mejorado su codificación, pero se han quedado rezagadas en las pruebas, según Madhani.
"Esto definitivamente concuerda con lo que hemos visto", dijo Casey Ellis, fundador y CTO de Bugcrowd. "En pocas palabras, la tecnología en sí misma se está acelerando y las vulnerabilidades son inherentes al desarrollo de software. Es un juego de probabilidades y cuanta más software se produzca, más vulnerabilidades existirán. En términos de propagación, desde el punto de vista de la detección, los problemas de menor impacto tienden a ser más fáciles de introducir, más fáciles de encontrar y, por lo tanto, se informan con más frecuencia".
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelEl surgimiento de nuevas vulnerabilidades en la web
Una tendencia significativa radica en el hecho de que el número de vulnerabilidades más que se duplicó de 2016 a 2017. En 2016, el total era de 6,447. En 2017, ese número se disparó a 14,645 y ha aumentado constantemente desde entonces. ¿Por qué tal aumento de un año a otro?
Antes de 2017, Internet era principalmente un negocio para consumidores, según Tal Morgenstern, cofundador y director de productos de Vulcan Cyber. Pero a medida que más empresas B2B comenzaron a unirse en línea, los atacantes encontraron un nuevo objetivo lucrativo. Al mismo tiempo, hubo un aumento en las vulnerabilidades relacionadas con la web, como XSS, inyección SQL, DOS y CSRF, en comparación con años anteriores. En 2017, el número de vulnerabilidades relacionadas con PHP y fallas en Google Chrome aumentó en 270 respecto al año anterior, mientras que las vulnerabilidades de Apache más que se duplicaron.
La tendencia a la baja de las vulnerabilidades de alto riesgo
Un punto positivo en los últimos datos del NIST es el número relativamente bajo de vulnerabilidades de alto riesgo. Las 3,657 etiquetadas como alto riesgo para 2021 muestran una tendencia a la baja en comparación con 2020 y los años anteriores. Para explicar esta disminución, Madhani dijo que es probable que el menor número se deba a mejores prácticas de codificación por parte de los desarrolladores. Al adoptar una estrategia de "Shift left" en la que las pruebas se realizan antes en el ciclo de codificación, los desarrolladores han logrado poner un mayor énfasis en la seguridad.
Sin embargo, los resultados generales siguen siendo alarmantes y señalan los desafíos a los que se enfrentan las organizaciones para realizar un seguimiento de todas sus aplicaciones vulnerables y otros activos.
"Se ha vuelto casi imposible para las organizaciones crear un inventario preciso de todos los activos de TI conectados a su empresa", dijo Greg Fitzgerald, cofundador de Sevco Security. "La razón principal de esto es que la mayoría de las empresas tienen inventarios de activos de TI que no reflejan toda su superficie de ataque, que en las empresas modernas se extiende más allá de la red para incluir la nube, dispositivos personales, trabajadores remotos y todo lo que se encuentra en las instalaciones. Hasta que las organizaciones puedan comenzar a trabajar a partir de un inventario completo y preciso de activos de TI, las vulnerabilidades seguirán siendo valiosas para los hackers y representarán riesgos reales para las empresas".
Cómo proteger tu computadora de los virus: métodos y consejosEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El número de vulnerabilidades de seguridad alcanza un récord por quinto año consecutivo , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados