Analizamos 2,5 millones de vulnerabilidades que descubrimos en los activos de nuestros clientes. Esto es lo que encontramos.
Profundizando en los datos
El conjunto de datos que analizamos aquí es representativo de un subconjunto de clientes que se suscriben a nuestros servicios de escaneo de vulnerabilidades. Los activos escaneados incluyen aquellos a los que se puede acceder a través de Internet, así como aquellos presentes en redes internas. Los datos incluyen hallazgos sobre equipos de red, computadoras de escritorio, servidores web, servidores de bases de datos e incluso alguna que otra impresora de documentos o dispositivo de escaneo.
La cantidad de organizaciones en este conjunto de datos es menor (3 menos) que el conjunto de datos anterior utilizado en Security Navigator 2023 del año pasado y algunas organizaciones fueron reemplazadas por nuevas incorporaciones. Con el cambio de organizaciones viene una combinación diferente de activos, lo que hace que comparar los resultados anteriores sea similar a comparar manzanas con naranjas (podríamos estar sesgados), pero aún así vale la pena señalar patrones similares siempre que sea posible.
Este año, volvemos a abordar el amenazador tema de la vulnerabilidad con la mirada puesta en la siempre presente y persistente cola de debilidades del sistema no resueltas. Las oleadas de problemas graves recién descubiertos son solo para nuestra atención con problemas existentes sin resolver, que parecen una hidra a la que le siguen creciendo nuevas cabezas serpenteantes tan pronto como despachas a otras.
Evaluar si un sistema está adecuadamente protegido es un desafío que requiere habilidad y experiencia y puede llevar mucho tiempo. Pero queremos conocer cualquier debilidad de antemano en lugar de tener que lidiar con las consecuencias de un “pentest gratuito” no planificado por parte de un grupo aleatorio de Cy-X.
Security Navigator 2024 ya está aquí: descargar ahora#
el recién liberado Navegador de seguridad 2024 ofrece información crítica sobre las amenazas digitales actuales, documentando 129,395 incidentes y 25,076 infracciones confirmadas. Más que un simple informe, sirve como una guía para navegar por un panorama digital más seguro.
¿Qué hay adentro?#
- 📈 Análisis en profundidad: Explore tendencias, patrones de ataque y predicciones. Aprenda de los estudios de casos en CyberSOC y Pentesting.
- 🔮 Listo para el futuro: Equípese con nuestras predicciones de seguridad y resumen de investigación.
- 👁️ Datos en tiempo real: Desde la vigilancia de la Dark Net hasta estadísticas específicas de la industria.
Manténgase un paso por delante en ciberseguridad. ¡Tu guía esencial te espera!
Hallazgos del análisis de vulnerabilidades por gravedad
Al examinar la proporción de calificación de gravedad por hallazgo único, vemos que la mayor parte de los hallazgos únicos, el 79 %, se clasifican como “Alta” o “Media”. Sin embargo, también vale la pena señalar que la mitad (50,4%) de los hallazgos únicos se consideran ‘críticos’ o ‘altos’.
El número promedio de hallazgos “críticos” o “altos” ha disminuido en un 52,17 % y un 43,83 %, respectivamente, en comparación con nuestros resultados publicados anteriormente. También se puede observar una mejora en los resultados con calificaciones de gravedad “media” y “baja”, que disminuyeron un 29,92 % y un 28,76 %. Como este informe utiliza una muestra de clientes ligeramente diferente a la del año pasado, una comparación interanual tiene un valor limitado, pero vemos evidencia de que los clientes están respondiendo bien a los hallazgos que informamos, lo que resulta en una mejora general.
La mayoría de los hallazgos (78%) calificados como “críticos” o “altos” tienen 30 días o menos (cuando se analiza una ventana de 120 días). Por el contrario, el 18% de todos los hallazgos calificados como “críticos” o “altos” tienen 150 días o más. Desde una perspectiva de priorización, los hallazgos reales ‘críticos’ o ‘altos’ parecen abordarse rápidamente, pero aún se acumula algo residual con el tiempo. Vemos, por lo tanto, que los Hallazgos no resueltos continúan envejeciendo. De hecho, aproximadamente el 35% de todos los CVE únicos provienen de hallazgos de 120 días o más.
El gráfico anterior muestra la larga cola de hallazgos reales no resueltos. Obsérvese el primer pico de cola larga notable alrededor de los 660 días y el segundo a los 1380 días (3 años y 10 meses).
Una ventana de oportunidad
Los elevados números promedio de resultados “críticos” y “altos” están influenciados en gran medida por los activos que ejecutan los sistemas operativos Microsoft Windows o Microsoft Windows Server. Los activos que ejecutan sistemas operativos distintos de Microsoft, como los sistemas operativos basados en Linux, están presentes, pero proporcionalmente se reportan mucho menos.
Sin embargo, debemos tener en cuenta que los hallazgos “críticos” o “altos” asociados con los activos que ejecutan Windows no son necesariamente vulnerabilidades en el sistema operativo, sino que también pueden estar relacionados con las aplicaciones que se ejecutan en el activo.
Quizás sea comprensible que aquí predominen las versiones no compatibles de Microsoft Windows y Windows Server, pero resulta sorprendente encontrar versiones más recientes de estos sistemas operativos con gravedades clasificadas como “críticas” o “altas”.
Perspectiva de la industria
Estamos usando NAICS para nuestra clasificación industrial. Los resultados aquí solo consideran hallazgos basados en escaneos de hosts en lugar de servicios como aplicaciones web. El hallazgo real único promedio por activo único es 31,74 en todas las organizaciones, indicado por la línea horizontal discontinua en el cuadro siguiente.
Nuestros clientes en la industria de la construcción parecen tener un desempeño excepcionalmente bueno en comparación con clientes de otras industrias, con un promedio de 12,12 hallazgos por activo. En el extremo opuesto del espectro, tenemos las industrias de minería, canteras y petróleo y gas, donde reportamos un promedio de 76,25 hallazgos únicos por activo. Los clientes de Administración Pública nos sorprendieron superando a Finanzas y Seguros con una media de 35,3 Hallazgos por Activo, frente a 43,27, a pesar del mayor número de Activos. Por supuesto, estos valores se derivan del conjunto de clientes presentes en nuestra muestra y pueden no representar la realidad universal.
Al comparar la gravedad promedio por activo único por industria, vemos un panorama mixto. Podemos ignorar la Atención Sanitaria y la Asistencia e Información Social, con un recuento de activos únicos relativamente pequeño, lo que da como resultado promedios desproporcionados en relación con otras Industrias.
Nuestro promedio general de la industria para la calificación de gravedad Alta es 21,93 y la minería, las canteras y la extracción de petróleo y gas tienen más del doble de ese promedio.
De manera similar, Finanzas y Seguros con Servicios de Alojamiento y Alimentación también superaron el promedio general en 10,2 y 3,4 resultados por activo único, respectivamente. Las mismas tres industrias excedieron el promedio general de hallazgos calificados como críticos, y los servidores de alojamiento y alimentos lo hicieron por casi un factor de 3.
La vulnerabilidad está envejeciendo
Al revisar el amenazante tema de la vulnerabilidad este año, una vez más miramos con recelo la historia siempre presente y persistente de debilidades del sistema no resueltas que simplemente están envejeciendo. Evaluamos más de 2,5 millones de hallazgos de vulnerabilidades que informamos a nuestros clientes y más de 1500 informes de nuestros piratas informáticos éticos profesionales para comprender el estado actual de las vulnerabilidades de seguridad y considerar su función y eficacia como herramienta para la priorización.
La mayor parte de los hallazgos únicos reportados por nuestros equipos de escaneo (79%) se clasifican como “Altos” o “Medios”, y el 18% de todos los hallazgos graves tienen 150 días o más. Aunque por lo general estos problemas se solucionan más rápidamente que otros, algunos residuos aún se acumulan con el tiempo. Si bien la mayoría de los hallazgos que identificamos se resuelven después de 90 días, el 35 % de todos los hallazgos que informamos persisten durante 120 días o más. Y muchos de ellos nunca son abordados en absoluto.
Los resultados de nuestro escaneo iluminan el problema persistente de las vulnerabilidades sin parches. Mientras tanto, nuestros equipos de Ethical Hacking encuentran con mayor frecuencia aplicaciones y sistemas más nuevos creados en plataformas, marcos y lenguajes contemporáneos.
El papel del Ethical Hacker es realizar pruebas de penetración: emular a un atacante malicioso y evaluar un sistema, una aplicación, un dispositivo o incluso personas en busca de vulnerabilidades que podrían usarse para obtener o denegar el acceso a los recursos de TI.
Las pruebas de penetración generalmente se consideran un componente de la gestión de vulnerabilidades, pero también podrían verse como una forma de inteligencia sobre amenazas que las empresas deberían aprovechar como parte de su estrategia de defensa proactiva.
El 17,67 % de los hallazgos que informaron nuestros Ethical Hackers fueron calificados como “graves”, pero, en una nota más positiva, los hackers deben trabajar más duro hoy en día para descubrirlos que en el pasado.
Este es sólo un extracto del análisis. Se pueden encontrar más detalles sobre nuestro análisis de vulnerabilidades y Pentesting (así como un montón de otros temas de investigación interesantes como la categorización VERIS de los incidentes manejados en nuestros CyberSOC, estadísticas de ciberextorsión y un análisis de hacktivismo) en el Navegador de seguridad. Simplemente complete el formulario y obtenga su descarga. ¡Vale la pena!
Nota: Este artículo informativo ha sido elaborado de manera experta y compartido generosamente por Charl van der Walt, director del Centro de Investigación de Seguridad de Orange Cyberdefense.