{"id":590536,"date":"2023-01-24T18:03:38","date_gmt":"2023-01-24T18:03:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigacion-de-security-navigator-algunas-vulnerabilidades-se-remontan-al-ultimo-milenio\/"},"modified":"2023-01-24T18:03:39","modified_gmt":"2023-01-24T18:03:39","slug":"investigacion-de-security-navigator-algunas-vulnerabilidades-se-remontan-al-ultimo-milenio","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigacion-de-security-navigator-algunas-vulnerabilidades-se-remontan-al-ultimo-milenio\/","title":{"rendered":"Investigaci\u00f3n de Security Navigator: algunas vulnerabilidades se remontan al \u00faltimo milenio"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El an\u00e1lisis de vulnerabilidad da como resultado <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\">Navegador de seguridad de Orange Cyberdefenses<\/a> muestran que algunas vulnerabilidades descubiertas por primera vez en 1999 todav\u00eda se encuentran en las redes en la actualidad.  Esto es preocupante.<\/p>\n<h2 style=\"text-align: left;\"><strong>Edad de los hallazgos de COV<\/strong><\/h2>\n<p>Nuestros escaneos de vulnerabilidades se realizan de forma recurrente, lo que nos brinda la oportunidad de examinar la diferencia entre cu\u00e1ndo se realiz\u00f3 un escaneo en un activo y cu\u00e1ndo se inform\u00f3 un hallazgo determinado en ese activo.  Podemos llamar a eso el hallazgo &#8216;Edad&#8217;.  Si no se abordan los hallazgos notificados por primera vez, se producir\u00e1n en m\u00e1s escaneos a lo largo del tiempo a medida que aumenta la Edad, y as\u00ed podemos rastrear c\u00f3mo cambia la Edad de los hallazgos informados a lo largo del tiempo.<\/p>\n<p>Como ilustra claramente el siguiente cuadro, la mayor\u00eda de los hallazgos reales en nuestro conjunto de datos, en todos los niveles de gravedad, tienen entre 75 y 225 d\u00edas de antig\u00fcedad.  Hay un segundo &#8220;pico&#8221; alrededor de los 300 d\u00edas, que sospechamos tiene m\u00e1s que ver con la antig\u00fcedad de los datos en el conjunto de datos y, por lo tanto, puede ignorarse.  Finalmente, hay un &#8216;golpe&#8217; fascinante alrededor de los 1000 d\u00edas, que creemos que representa la &#8216;cola larga&#8217; de hallazgos en el conjunto de datos que simplemente nunca se abordar\u00e1. <\/p>\n<p>El 75 % de los hallazgos en el &#8216;golpe&#8217; de 1000 d\u00edas son de gravedad media, pero el 16 % se clasifican como de gravedad alta o cr\u00edtica. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674583417_985_Investigacion-de-Security-Navigator-algunas-vulnerabilidades-se-remontan-al-ultimo.jpg\" alt=\"\" border=\"0\" data-original-height=\"340\" data-original-width=\"728\"\/><\/div>\n<p>La edad promedio de los hallazgos en nuestro conjunto de datos se ve afectada tanto por los cambios en nuestro conjunto de clientes y activos como por cualquier factor externo, como se puede ver en el alto grado de variaci\u00f3n.  Sin embargo, hay un claro aumento en la edad promedio de los hallazgos del 241 % de 63 a 215 d\u00edas durante los 24 meses desde que incorporamos clientes a esta plataforma.<\/p>\n<p><strong>La agrupaci\u00f3n aproximada de los hallazgos confirmados de nuestros datos de exploraci\u00f3n de vulnerabilidades por &#8220;grupo de edad&#8221; revela lo siguiente:<\/strong><\/p>\n<ul>\n<li>Solo el 20% de todos los hallazgos se abordan en menos de 30 d\u00edas<\/li>\n<li>80% todos los hallazgos tardan 30 d\u00edas o m\u00e1s en parchearse<\/li>\n<li>El 57% de todos los hallazgos tardan 90 d\u00edas o m\u00e1s en parchearse. <\/li>\n<li>Promedio de 215 d\u00edas<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\"><strong>Antig\u00fcedad media\/m\u00e1xima de los hallazgos por gravedad <\/strong><\/h2>\n<p>El gr\u00e1fico a continuaci\u00f3n sugiere que incluso las vulnerabilidades cr\u00edticas tardan alrededor de 6 meses en promedio en resolverse, pero eso es alentador al menos un 36 % m\u00e1s r\u00e1pido que el tiempo para problemas de baja gravedad.<\/p>\n<p>Echando un vistazo m\u00e1s de cerca a las lecturas de tiempo promedio versus tiempo m\u00e1ximo para diferentes clasificaciones de criticidad, terminamos con el gr\u00e1fico a continuaci\u00f3n. <\/p>\n<p>Si bien nuestra conclusi\u00f3n de que los problemas cr\u00edticos se resuelven m\u00e1s r\u00e1pido representa el tiempo promedio de mitigaci\u00f3n, el tiempo m\u00e1ximo es consistentemente alto, independientemente de la criticidad.<\/p>\n<p>Tendremos que observar m\u00e1s esta m\u00e9trica a medida que el conjunto de datos crezca en el futuro. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674583418_656_Investigacion-de-Security-Navigator-algunas-vulnerabilidades-se-remontan-al-ultimo.jpg\" alt=\"\" border=\"0\" data-original-height=\"343\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>Comparaci\u00f3n de la industria<\/strong><\/h2>\n<p>La edad m\u00e1xima de los hallazgos en la vista a continuaci\u00f3n sirve tanto como una indicaci\u00f3n de cu\u00e1nto tiempo los clientes de esa industria han estado presentes en nuestro conjunto de datos como cualquier otra cosa, mientras que la edad promedio es un mejor indicador de qu\u00e9 tan bien los clientes est\u00e1n resolviendo los problemas. informamos.  Por lo tanto, las industrias con m\u00e1ximos altos y promedios bajos estar\u00edan haciendo lo mejor, m\u00e1ximo alto y promedio alto&#8230; lo &#8216;peor&#8217;.  Las industrias con edades m\u00e1ximas muy bajas probablemente no hayan estado en el conjunto de datos por mucho tiempo y, por lo tanto, tal vez no deber\u00edan incluirse en las comparaciones de esta m\u00e9trica.<\/p>\n<p><strong>Independientemente de c\u00f3mo se comparen estas industrias, la edad del hallazgo es una m\u00e9trica preocupante.<\/strong><\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674583418_394_Investigacion-de-Security-Navigator-algunas-vulnerabilidades-se-remontan-al-ultimo.jpg\" alt=\"\" border=\"0\" data-original-height=\"367\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>\u00bfQu\u00e9 edad tienen realmente esas vulnerabilidades?<\/strong><\/h2>\n<p>Hasta ahora solo hemos analizado el tiempo relativo, desde que encontramos por primera vez una vulnerabilidad en un activo hasta ahora (si a\u00fan est\u00e1 presente).  Sin embargo, eso no nos da ninguna informaci\u00f3n sobre la antig\u00fcedad real de esas vulnerabilidades.  Echando un vistazo m\u00e1s de cerca a los CVE encontrados, podemos analizar sus fechas de publicaci\u00f3n.  Los resultados son algo desconcertantes, pero parecen ajustarse a la imagen que surge: por una u otra raz\u00f3n, algunas vulnerabilidades simplemente no se solucionan nunca.  Pasan a formar parte de la deuda de seguridad que acumulan las empresas.<\/p>\n<ul>\n<li>El 0,5 % de los ECV notificados tienen 20 a\u00f1os o m\u00e1s<\/li>\n<li>El 13% de los informes de CVE tienen 10 a\u00f1os o m\u00e1s.<\/li>\n<li>El 47% de los CVE tienen 5 a\u00f1os o m\u00e1s.<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674583418_105_Investigacion-de-Security-Navigator-algunas-vulnerabilidades-se-remontan-al-ultimo.jpg\" alt=\"\" border=\"0\" data-original-height=\"344\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>Conclusi\u00f3n<\/strong><\/h2>\n<p>Cada d\u00eda se publican m\u00e1s de 22 vulnerabilidades con CVE asignados.  Con un puntaje CVSS promedio superior a 7 (gravedad alta), cada una de estas vulnerabilidades reveladas es un punto de datos significativo que afecta nuestras ecuaciones de riesgo y nuestra exposici\u00f3n real a las amenazas. <\/p>\n<p>El escaneo de vulnerabilidades y las pruebas de penetraci\u00f3n son mecanismos que utilizamos para dar sentido a las vulnerabilidades que pueden afectar nuestra postura de seguridad, comprender su impacto potencial, priorizar y tomar las medidas adecuadas.  Estos dos ejercicios de evaluaci\u00f3n tienen un enfoque diferente, pero usan un lenguaje similar y tienen un prop\u00f3sito similar. <\/p>\n<p>Este a\u00f1o estamos incluyendo un an\u00e1lisis de conjuntos de datos de ambos servicios en el Navegador.  Esta es la primera vez que intentamos esto, y nuestros datos a\u00fan est\u00e1n lejos de ser perfectos. <\/p>\n<p>Lo que podemos ver claramente es que estamos luchando para gestionar las vulnerabilidades que conocemos.  En promedio, nuestros clientes tardan 215 d\u00edas en parchear una vulnerabilidad que les informamos.  Esto es un poco m\u00e1s bajo para las vulnerabilidades cr\u00edticas: parece que se corrigen un 36 % m\u00e1s r\u00e1pido que los problemas de gravedad &#8220;baja&#8221;.  Pero el panorama sigue siendo sombr\u00edo: el 80 % de todos los hallazgos tardan 30 d\u00edas o m\u00e1s en parchearse, el 57 % tarda 90 d\u00edas o m\u00e1s. <\/p>\n<p>\u00a1Nuestros equipos de pentesting todav\u00eda est\u00e1n descubriendo vulnerabilidades que se identificaron por primera vez en 2010, y nuestros equipos de escaneo encuentran problemas que datan de 1999!  De hecho, el 47% de los CVE tienen 5 a\u00f1os o m\u00e1s.  El 13% tiene 10 a\u00f1os o m\u00e1s.  Este es un resultado preocupante.<\/p>\n<p>Esto es solo un extracto del an\u00e1lisis.  Se pueden encontrar m\u00e1s detalles, como la criticidad de las vulnerabilidades y los cambios en los resultados de an\u00e1lisis de VOC y Pentesting a lo largo del tiempo (as\u00ed como una tonelada de otros temas de investigaci\u00f3n interesantes), en el <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\">Navegador de seguridad<\/a>.  Es gratis, as\u00ed que \u00e9chale un vistazo.  \u00a1Vale la pena!<\/p>\n<p><i><b>Nota: <\/b>Esta pieza informativa ha sido elaborada por expertos y compartida generosamente por Charl van der Walt, Jefe de Investigaci\u00f3n de Seguridad en Orange Cyberdefense.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/security-navigator-research-some.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El an\u00e1lisis de vulnerabilidad da como resultado Navegador de seguridad de Orange Cyberdefenses muestran que algunas vulnerabilidades descubiertas<\/p>\n","protected":false},"author":1,"featured_media":590537,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5335,4661,4664,4662,1034,4668,4667,93092,53415,4654,4658,4659,4653,4655,4663,19056,56626,4666,4665,1327,4660,12260],"class_list":["post-590536","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-algunas","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-investigacion","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-milenio","tag-navigator","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-remontan","tag-security","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-ultimo","tag-vulnerabilidad-de-software","tag-vulnerabilidades"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/590536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=590536"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/590536\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/590537"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=590536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=590536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=590536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}