LA ECONOMÍA SE BASA EN LA CONFIANZA - MEDIR LA SEGURIDAD, CREAR CONFIANZA - 2021 SYNACK TRUST REPORT
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
2021 SYNACK TRUST REPORT LA ECONOMÍA SE BASA EN LA CONFIANZA MEDIR LA SEGURIDAD, CREAR CONFIANZA
La confianza es fundamental. La principal plataforma colaborativa de Synack para la experiencia en seguridad bajo demanda aprovecha a los hackers éticos con más talento del mundo y la tecnología inteligente para ofrecer una cobertura continua a la carta, con resultados procesables.
Table of Contents Prólogo 4 Principales resultados 6 El panorama 11 Tendencias del sector 16 Tendencias en la calificación de la Attacker Resistance Score 25 Perspectivas ejecutivas: Prioridades en 2021 32 Metodología y resumen del sector 35
FOREWORD Permitir la transformación a través de las pruebas y la confianza En bp, tenemos un objetivo claro: reimaginar la Encontrarán la brecha en su sistema que usted creía energía para las personas y el planeta. Queremos cerrada hace años pero que se volvió a abrir en una llegar al cero neto en 2050 o antes y ayudar al actualización o lanzamiento reciente del sistema. mundo a alcanzar el objetivo de cero emisiones. Para Además, los resultados de esas pruebas deben lograr estos objetivos, reevaluamos constantemente ser exhaustivos, procesables y estar disponibles a nuestros procesos y enfoques para asegurarnos de través de un portal para que se puedan compartir que estamos siguiendo el mejor camino posible. a través de las organizaciones rápidamente con el Adoptamos el mismo enfoque cuando se trata de fin de ayudar rápidamente a otros equipos que tal la seguridad. Por ello, nuestros equipos digitales vez —solo tal vez—estén utilizando el mismo código. desempeñan un papel fundamental en esta transformación global, y nuestros equipos de C Ó M O T R A N S F O R M A M O S N U E S T R O R É G I M E N ciberseguridad se encargan de que bp innove de DE PRUEBAS forma segura y mantenga la velocidad y la escala En bp nos propusimos reinventar nuestro servicio necesarias para alcanzar nuestros objetivos. de pruebas de penetración en los últimos meses Las pruebas son cruciales para esta misión. Piense porque nuestros clientes internos nos dijeron que en esto: cuando lleva a su familia a una cena elegante querían servicios de seguridad más rápidos. en un restaurante situado en la planta 45, no se Ahora, gracias a nuestra asociación con Synack, lo pensaría dos veces antes de entrar en el primer lanzamos pruebas en cuestión de horas con un grupo ascensor que llegue. Sin embargo, ¿qué sucede de investigadores de todo el mundo. Pero, lo que si llegan dos ascensores al mismo tiempo? es más importante, obtenemos una inteligencia de En uno de ellos, se ve un certificado de seguridad seguridad completa y procesable, clasificada, con obsoleto. La última prueba se realizó en 2018, y desde hallazgos confirmados e informes completos casi entonces ha tenido más de 100 actualizaciones y en tiempo real, lo que supone un enorme ahorro de se desconoce el estado de cualquier problema. tiempo y de recursos para los equipos de seguridad y desarrollo de bp. Esto significa que estamos El otro se probó el mismo día en que usted y su corrigiendo las vulnerabilidades y verificándolas familia llegaron al edificio y todos los problemas antes de que las pruebas hayan terminado. detectados se han solucionado satisfactoriamente. También significa que los desarrolladores de bp Yo sé por cuál me decantaría. Las pruebas (cuando y los propietarios de los servicios se dirigen a se trata de seguridad, protección y resistencia) nosotros de forma proactiva y nos solicitan pruebas, marcan toda la diferencia del mundo. en lugar de tener que perseguirles nosotros y obligarles a realizarlas. Es una victoria increíble En ciberseguridad, una prueba de penetración para cualquier organización. Nos acerca a la realizada hace años ya no tiene ninguna seguridad por diseño. Y también hemos recibido importancia en la actualidad, simple y llanamente. excelentes comentarios de nuestros probadores. Los atacantes actualizan constantemente sus Es muy gratificante oírles decir cosas buenas métodos y buscan nuevas vulnerabilidades. No se sobre nuestra rápida velocidad de parcheo. toman los fines de semana ni los festivos libres. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 4
FOREWORD Esta nueva cadencia de pruebas nos está ayudando a La seguridad es un esfuerzo de equipo. Implica establecer una cultura de seguridad más rigurosa en a todo el mundo dentro de la organización. No todo bp. Es poner la seguridad en el centro de nuestro podemos tener éxito solos y para garantizar que proceso de diseño y desarrollo. Estamos más cerca de seguimos teniendo la confianza de nuestros ser seguros por diseño. bp ha adoptado plenamente clientes, socios y empleados, las pruebas continuas una innovación segura, lo que significa que la y rigurosas forman parte de la ecuación. Sin ciberseguridad está integrada en todo lo que hacemos. eso, estaríamos entrando en ese ascensor no probado o depositando nuestra fe en sistemas ENTONCES, ¿QUÉ ES LO SIGUIENTE? vulnerables. Simplemente no podemos operar así. Medidas como la Attacker Resistance Score (ARS) mantienen nuestra honradez y nuestro nivel de R I T E S H PAT E L conocimiento sobre lo que ocurre. La ARS nos DIRECTOR DE SEGURIDAD DE BP permite evaluar constantemente nuestros resultados y comparar nuestra actuación en los distintos sectores. Es un indicador sólido de que bp está actuando por encima de la media del sector, lo que envía un mensaje claro y potente dentro de la organización de que la seguridad (y la confianza) son esenciales en todo lo que hacemos en bp. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 5
PRINCIPALES RESULTADOS 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 6
P R I N C I PA L E S R E S U LTA D O S Los ciberataques han hecho tambalear la confianza de los consumidores en los últimos meses y han provocado el pánico a varios niveles. Han provocado encendidos debates sobre el grado de preparación de Estados Unidos para defender las infraestructuras críticas. El presidente Joe Biden emitió una Orden Ejecutiva en la que pedía una revisión de las defensas digitales de la nación, afirmando que Estados Unidos se enfrenta a «campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas». Todo esto llega después de un año de agitación y transformación empresarial. La pandemia aceleró las iniciativas de transformación digital de las operaciones e impulsó los esfuerzos por implantar la seguridad de confianza cero para los trabajadores a distancia. Con demasiada frecuencia, las vulnerabilidades dejan a las organizaciones peligrosamente expuestas. El año pasado, la base de datos de vulnerabilidad del US-CERT registró casi 17 500 vulnerabilidades, una cifra récord por cuarto año consecutivo. Más de un tercio (el 37 %) de las vulnerabilidades detectadas por el Synack Red Team (SRT), nuestra red global de investigadores de seguridad altamente cualificados y examinados, entre 2020 y abril de 2021 se consideraron importantes o críticas. Además, el SRT observó un aumento del 14 % en los últimos dos años en las vulnerabilidades de autorización y permiso, que pueden dar a los atacantes acceso a las redes y sistemas más sensibles. La naturaleza de las amenazas actuales hace que el CISO sea todavía más vital. Además de las transformaciones digitales, las organizaciones se enfrentaron a importantes ataques realizados a nivel nacional. En el futuro, el papel del CISO y de los equipos de seguridad seguirá evolucionando y ampliándose. De hecho el 55 % de los ejecutivos de las empresas planean aumentar sus presupuestos de ciberseguridad en 2021 y el 51 % está añadiendo personal cibernético a tiempo completo en 2021. Para determinar hasta qué punto las organizaciones están preparadas para defenderse frente a todo tipo de ataques digitales, Synack examinó las tendencias de las calificaciones de la Attacker Resistance Score™ (ARS) de nuestros clientes1, una medida propia diseñada para ofrecerle una visión única y valiosa de su nivel de riesgo. 1 La calificación Attacker Resistance Score (ARS), propiedad de Synack, es una medida del grado de protección de sus activos frente a un ataque. La ARS global proporciona una visión completa de la susceptibilidad del activo objetivo a los ataques, basada en un algoritmo patentado desarrollado por el equipo de ciencia de datos de Synack. Es una función del coste del atacante, la gravedad de los hallazgos, la habilidad de la TER y la eficacia de la reparación. En el apéndice se ofrecen más detalles sobre la calificación ARS. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 7
P R I N C I PA L E S R E S U LTA D O S AT TA C K E R R E S I S TA N C E S C O R E ( A R S ) P U N T U A C I Ó N D E AT TA C K E R R E S I S TA N C E S C O R E Este informe se basa en los datos de la calificación patentada Attacker Resistance Score (ARS) y extrae información directamente de la plataforma Una métrica de seguridad colaborativa de Synack, basada en miles de pruebas de seguridad realizadas por realista basada en hackers éticos examinados hasta abril de 2021. un modelo robusto La calificación de la Attacker Resistance Score va de 0 a 100. Las puntuaciones más altas indican que las organizaciones tienen una mayor resistencia a los esfuerzos de los atacantes: Son menos vulnerables a ser derribadas por los delincuentes informáticos Puntuación de Attacker porque tienen menos vulnerabilidades de alta gravedad, Resistance Score solucionan los problemas de seguridad con mayor rapidez y tienen defensas reforzadas que requieren más esfuerzo para los atacantes. Una puntuación = más baja significa que las organizaciones tienen una superficie de ataque que es más fácil y menos costosa de penetrar, responden con mayor lentitud a las Coste del atacante vulnerabilidades y desconfiguraciones, y se enfrentan a El nivel de esfuerzo ejercido por el Synack Red un mayor riesgo general de un compromiso o violación. Team para penetrar en la superficie de ataque y encontrar vulnerabilidades Algunas buenas noticias en un año difícil, en 2021: La calificación media de la ARS en todos los sectores fue de 57, lo que supone un ligero, pero significativo, aumento positivo con respecto a la ARS media del año pasado, que fue de 54. Si bien algunas organizaciones han recibido una ARS de nada menos que 100, las Gravedad de los organizaciones que obtienen una puntuación superior a 70 tienen una indicación sólida de que sus resultados prácticas de seguridad están dando resultados. La gravedad y la cantidad de vulnerabilidades descubiertas en un activo Las empresas que dan importancia a las pruebas de seguridad y analizan de forma proactiva los nuevos activos y aplicaciones digitales tendrán, a largo plazo, defensas más sólidas y menos infracciones. Incluso los equipos de seguridad más proactivos verán caer periódicamente la calificación ARS de sus empresas con una actualización importante o con Eficacia de la nuevos productos, pero estas organizaciones pueden reparación identificar y abordar rápidamente los nuevos problemas La eficacia con la que una organización resuelve y, por tanto, estar mejor posicionadas para defenderse los problemas identificados en sus entornos en relación con la competencia. El objetivo no es conseguir la máxima puntuación y seguir adelante, sino medir continuamente la capacidad de las nuevas tecnologías y los activos para resistir los ataques. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 8
P R I N C I PA L E S R E S U LTA D O S La mayoría de los sectores mejoraron su ARS en 2021 En todos los sectores, las puntuaciones se han recuperado de los descensos anteriores y, en 2021, todos los sectores, excepto dos, mejoraron su promedio de ARS, siendo el comercio electrónico, el comercio minorista y la sanidad los sectores que registraron las mejoras más significativas en comparación con el año anterior. Tanto el gobierno federal como el sector sanitario sufrieron cambios significativos en las operaciones y la presión para mejorar la eficiencia durante la pandemia, y ambos sectores salieron bastante bien parados. Los dos sectores que no mejoraron (servicios financieros y administración estatal, local y de la educación [SLED]) vieron caer su ARS en un solo punto. Aunque el sector de la manufactura y las infraestructuras críticas sufrió una enorme caída en su Attacker Resistance Score en 2020, el sector recuperó 5 puntos en su ARS en 2021. Al final, casi todos los sectores avanzaron hacia una mayor resistencia a los ataques que antes, y la puntuación media de todas las empresas analizadas aumentó de 54 a 57. Los atacantes necesitan menos tiempo para encontrar vulnerabilidades Por término medio, los encargados de las pruebas de penetración solo necesitaron 18 horas humanas para encontrar una vulnerabilidad en las aplicaciones seleccionadas, frente a las 21 horas humanas de 2020. Sin embargo, algunos sectores endurecieron sus aplicaciones con mucho más éxito que otras, haciendo que fuera más costoso y más largo encontrar las vulnerabilidades, lo que se tradujo en una mayor calificación de ARS. El sector sanitario, por ejemplo, tuvo más facilidades para encontrar vulnerabilidades en 2020, puesto que requirió solo 15,5 horas humanas de media, pero mejoró esa cifra a 20 horas humanas en 2021. Aunque el sector gubernamental se mantuvo en el extremo superior de la lista (y empatado con el de la sanidad en 2021), el sector pasó de una media de 30 horas humanas para encontrar los primeros problemas de seguridad en 2020 a solo 20 horas humanas en 2021, lo que refleja un objetivo más fácil para los atacantes. Las empresas mejoran la velocidad de remediación, lo que dificulta la labor de los atacantes En 2020, Synack descubrió que los equipos de desarrollo de software que integraban la seguridad en el ciclo de vida del desarrollo mostraban una mejora sustancial de la ARS en un solo año con pruebas continuas. En el último informe, también encontramos indicios de que la priorización inteligente de las vulnerabilidades ha dado sus frutos en 2021, ya que los problemas de gravedad crítica se solucionaron en 32 días de media, un 10 % más rápido que en 2020, mientras que los problemas de gravedad alta y media tardaron 46 y 61 días de media en solucionarse, respectivamente. Esto es un fuerte indicador de que las organizaciones son más rápidas a la hora de remediar los problemas conocidos y han establecido defensas para prevenir la explotación de las vulnerabilidades de día cero. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 9
P R I N C I PA L E S R E S U LTA D O S Los CISO se convierten en los guardianes de la confianza de la empresa La confianza en todas las instituciones se tambaleó durante la pandemia, según el Edelman 2021 Trust Barometer, una encuesta mundial en la que participaron 33 000 encuestados de 28 países. De hecho, se descubrió que el 68 % de las personas están «preocupadas» y el 35 % «temerosas» ante los delincuentes informáticos y los ciberataques. Esas preocupaciones (especialmente a la luz de un número creciente de ataques informáticos de alto perfil) han creado pruebas críticas para los directores generales y especialmente para los CISO cuando se trata de reconstruir la confianza de sus clientes y garantizar que la falta de seguridad no se sume a esos desafíos. Los CISO son fundamentales para dar soporte a ese esfuerzo, y muchas de las acciones más cruciales para la creación de confianza (como la protección de la calidad de la información) recaen en los equipos de seguridad. «La confianza es un ethos central para GDIT; de hecho, es uno de nuestros 4 valores fundamentales junto con la transparencia, la honestidad y la alineación›› dice Michael Baker, Chief Information Security Officer at General Dynamics Information Technology. “Generar confianza entre nuestros clientes, nuestros empleados y nuestros equipos cibernéticos es vital para mi función como CISO de GDIT. Para los clientes, la protección de los datos bajo nuestra custodia es primordial para ayudarles a alcanzar los objetivos de su misión. Cada empleado de GDIT confía en nosotros para proteger no solo su información personal, sino también la información confidencial de la empresa que nos mantiene competitivos en el mercado. Por último, nuestros equipos cibernéticos confían en nosotros para guiarles y orientarles hacia trayectorias profesionales satisfactorias en las que se ofrecen diversas experiencias para aprender y crecer. Medir el riesgo y elegir cuidadosamente las capacidades correctas con los socios comerciales adecuados que entienden el panorama actual de las amenazas me ayuda a lograr esos tres objetivos clave que definen el éxito de nuestras partes interesadas». “ Generar confianza entre nuestros clientes, nuestros empleados y nuestros equipos cibernéticos es vital para mi función como CISO de GDIT.” MICHAEL BAKER RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN G E N E R A L D Y N A M I C S I N F O R M AT I O N T E C H N O L O G Y 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 10
EL PANORAMA
Las empresas se han enfrentado a importantes trastornos, no solo por los efectos de una pandemia en curso, sino por la creciente incidencia de ataques de ransomware y sofisticadas operaciones de espionaje, como el compromiso de la cadena de suministro que comenzó con SolarWinds, los ataques de día cero a los servidores de Microsoft Exchange y, más recientemente, el ataque a Colonial Pipeline. Las tendencias indican que las empresas no solo tienen que asegurar sus propios activos, sino que también necesitan conocer mejor la seguridad de sus proveedores y socios. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 12
E L PA N O R A M A La transformación digital despega Aunque la pandemia perturbó las operaciones comerciales de muchos sectores, hubo un aspecto positivo: Las empresas tuvieron que acelerar la transformación digital para seguir operando con una plantilla distribuida y atender a los clientes. Para los responsables de seguridad, la situación exigía más flexibilidad a la hora de impulsar nuevos enfoques en su estrategia de ciberseguridad, lo cual aumentó la resistencia y disminuyó el riesgo de seguridad, al tiempo que se mejoraba la agilidad de la empresa. El resultado final es que las operaciones se volvieron más ágiles, más eficientes y mejor preparadas para responder de forma eficaz a las amenazas imprevistas. En una reciente encuesta de Fortune/Deloitte, el 85 % de los directores generales coincidieron en que la transformación digital de sus organizaciones se había acelerado considerablemente durante la crisis. Muchas organizaciones aprovecharon la pandemia como una oportunidad para repensar su experiencia digital, volver a comprometerse con los empleados y reevaluar las estrategias de crecimiento. La pandemia les dio el impulso para aprovechar la tecnología e impulsar la eficiencia y el crecimiento. El Laboratorio Nacional de Oak Ridge (el mayor laboratorio científico y energético del Departamento de Energía) tuvo que adaptarse rápidamente, como tantos otros. De repente, los 6000 empleados del laboratorio, con la excepción de 1000, tuvieron que realizar su trabajo a distancia. A través de sus asociaciones con organizaciones como Synack, Oak Ridge ha podido adaptar su modelo DevSecOps en un entorno virtual. Las pruebas de seguridad remotas y colaborativas les permitieron obtener una perspectiva adversa de su riesgo, escalar sus defensas y modernizar su enfoque de seguridad.» “ Probando aplicaciones o procesos a través de Synack, y algunos otros que utilizo, pudimos implementar y proporcionar un entorno más seguro» KEVIN KERR RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN D E L L A B O R AT O R I O N A C I O N A L D E O A K R I D G E 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 13
E L PA N O R A M A La preocupación por la seguridad se centra en la SOLARWINDS cadena de suministro y las El ataque informático sufrido por SolarWinds infraestructuras críticas afectó a una gran variedad de sectores, ya que Tres grandes compromisos revelados a finales de comprometió los sistemas de al menos nueve 2020 y principios de 2021 volvieron a centrar a las agencias gubernamentales y más de 100 organizaciones en la creación de defensas más empresas privadas, entre ellas Intel, Nvidia y profundas capaces de atrapar los ataques al software Microsoft. La amplitud del ataque puede tardar de confianza. En diciembre de 2020, la comunidad de años en ser comprendida en su totalidad. seguridad y el gobierno estadounidense descubrieron Es posible que las pruebas no pudiesen un ataque que modificó una actualización del haber impedido que el sofisticado adversario software de monitorización de redes de SolarWinds nacional plantara su único vector de para comprometer miles de sistemas. A principios acceso, porque estaba incorporado en de 2021, un conjunto de vulnerabilidades de día cero el software, lo que hacía muy difícil su en los servidores Exchange de Microsoft permitieron detección. Sin embargo, las pruebas de a agentes de estados nacionales comprometer a seguridad colaborativas continuas podrían cientos de empresas. Y, en mayo de 2021, la red haber permitido identificar los puntos de transporte de petróleo y gas, Colonial Pipeline, débiles dentro de las redes y ayudar a sufrió un ataque de ransomware que perjudicó prevenir la explotación posterior de los gravemente las operaciones, lo cual interrumpió el sistemas internos. El movimiento lateral suministro de combustible en el este de Estados de los atacantes, en la mayoría de los Unidos, aumentó el temor de los consumidores y casos, abusó del acceso privilegiado provocó el robo de 100 GB de datos. Los incidentes a la red. Las pruebas pueden señalar subrayan que los proveedores y vendedores se han dónde deben reparar las organizaciones convertido en la vía más fácil para los atacantes. las redes con exceso de privilegios. Como resultado de los ataques a la cadena de Además, las pruebas proporcionan una suministro de software, muchos equipos de seguridad herramienta útil para endurecer los sistemas esperan que sus presupuestos aumenten, con internos, poner a punto los sistemas de las prioridades de financiación centradas en la vigilancia y formar a los defensores en el adquisición de herramientas para la búsqueda de oficio del adversario. El ataque podría dar amenazas, la respuesta a incidentes y el análisis lugar a operaciones más desconectadas, forense, la contratación de más personal para llevar a con lo que enviaría algunas cargas de cabo estas actividades y el despliegue de iniciativas trabajo sensibles a entornos totalmente de confianza cero. Más de la mitad, el 57 %, de los aislados, lo que supone un giro respecto profesionales de la seguridad también desean a la confianza cero que depende de los una mayor inversión en seguridad ofensiva, según controles de autenticación para validar el el informe 2021 Signals in Security de Synack. acceso de los usuarios. No hay duda de que SolarWinds cambiará las reglas del juego en la industria y la administración pública. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 14
E L PA N O R A M A Los equipos multifuncionales son cada vez más importantes En 2021, los CIO seguirán impulsando con fuerza la transformación digital, la innovación empresarial y otras inversiones tecnológicas agresivas, que centrarán a las empresas en habilitar nuevos modelos de negocio y fuentes de ingresos. Como consecuencia de estos esfuerzos, el CISO se situará en el centro de las iniciativas empresariales críticas, en las que el ejecutivo lidera equipos multifuncionales para hacer coincidir la velocidad de las transformaciones digitales con estrategias de seguridad y privacidad ágiles y con visión de futuro. Los líderes de seguridad que se centran en la operacionalización de la seguridad serán los más capacitados para ofrecer un rendimiento seguro del sistema en toda la organización en medio de la transformación continua y las amenazas cambiantes. “ El constante impulso de la transformación digital hace que el trabajo del CISO sea hoy absolutamente esencial como persona que se encuentra en la intersección de la innovación y la seguridad. Tenemos que asegurarnos de que somos capaces de ayudar a guiar a la organización en una trayectoria de crecimiento más inteligente manteniendo conversaciones sobre seguridad al principio del proceso de desarrollo y adquisición. Las pruebas continuas y diferenciadas crearán sistemas y procesos mejores y más seguros, y garantizarán que las organizaciones no pierdan la confianza que tanto les ha costado ganar en el mercado.» J A S O N L E W KO W I C Z DIRECTOR GLOBAL DE SEGURIDAD DE LA INFORMACIÓN (CISO) COGNIZANT 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 15
TENDENCIAS DEL SECTOR
INDUSTRY TRENDS En general, Synack ha visto cómo los CISO han estado a la altura del desafío durante los últimos 16 meses y han navegado por un territorio inexplorado, centrándose en permitir las operaciones empresariales y reduciendo el riesgo de ataques maliciosos. Al analizar la evolución de las calificaciones de la ARS a lo largo de 2020, las puntuaciones se han recuperado desde el comienzo de la pandemia en todos los sectores, y muchos sectores empresariales han avanzado hacia una mayor resistencia al ataque que en los informes anteriores de 2021. F I G U RA 1 . C A L I F I C AC I Ó N M E D I A E N L A AS R D E L A I N D U ST R I A D U RA N T E COV I D - 19 : MARZO 2020-ABRIL 2021 Marzo de 2020 Julio de 2020 Abril de 2021 70 68 64 60 62 62 61 58 57 58 56 57 57 55 54 50 52 51 51 52 52 49 49 49 50 49 48 47 45 40 41 30 20 10 0 Gobierno Sanidad Servicios Tecnología Comercio Venta al por Consultoría/ Fabricación/ SLED financieros electrónico menor Servicios Infraestructura empresariales crítica y de TI FIGURA 2. CALIFICACIÓN MEDIA EN LA ARS DE CADA SECTOR POR AÑOS (PUBLICADA EN ANTERIORES INFORMES DE CONFIANZA) Sector Trust Report 20191 Trust Report 20202 Trust Report 20213 Gobierno 47 61 64 Sanidad 60 56 61 Servicios financieros 57 59 58 Tecnología 46 55 57 Comercio electrónico 48 47 57 Venta al por menor 45 46 55 SLED 46 50 49 Consultoría/Servicios empresariales y de TI 53 48 52 Fabricación/Infraestructura crítica 70 45 50 1. La calificación ARS se basa en los datos del Trust Report: 2019. Datos hasta enero de 2019. 2. La calificación ARS se basa en los datos del Trust Report: 2020. Datos hasta julio de 2020. 3. La calificación ARS se basa en los datos del Trust Report: 2021. Datos hasta abril de 2021. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 17
INDUSTRY TRENDS Gobierno—fuerte GOBIERNO El sector gubernamental sigue progresando y +3 actualmente está a la cabeza de los demás sectores con la mayor calificación ARS y los tiempos de solución más rápidos. Aunque el CVSS del sector es ligeramente superior a la media, los organismos públicos siguen dando prioridad a la corrección 2020 2021 de las vulnerabilidades con rapidez para evitar su 61 64 explotación, con un tiempo medio de corrección de 32 días (Figura 3). Es importante probar los activos con regularidad y de forma continua, pero hay que dar prioridad a las pruebas de todos los activos, incluidas las API y los activos de terceros. El ataque informático sufrido por SolarWinds afectó E S T U D I O D E C A S O D E D A R PA al menos a nueve agencias federales y demostró la necesidad de garantizar que todos los componentes Las agencias del gobierno federal, como, de la cadena de suministro digital sean de confianza. Si por ejemplo, la Agencia de Proyectos de bien la calificación ARS demuestra la resistencia a los Investigación Avanzada de Defensa (DARPA), ataques, la puntuación no refleja las vulnerabilidades están llevando al límite las pruebas. DARPA no declaradas y no refleja el sector gubernamental en utilizó Synack para impulsar las pruebas de general, sino solo{f1/}los activos que se han probado. seguridad en una fase más temprana del Estas pruebas no incluyeron el parche de actualización ciclo de desarrollo, con el fin de pensar en del proveedor relacionado con SolarWinds. cómo incorporar la seguridad por diseño a los futuros sistemas de hardware. Durante los tres meses que duró el programa, el equipo rojo de Synack probó más de 980 procesadores de integración de la seguridad del sistema a través del hardware y el firmware (SSITH) y se descubrieron 10 vulnerabilidades válidas (calificadas como altas y críticas según las normas del Sistema de Puntuación de Vulnerabilidad Común 3.0) en todas las implementaciones de la arquitectura segura. En todas las agencias se está hablando de integrar las pruebas en una fase más temprana del ciclo de vida de la adquisición, y DARPA está liderando el camino. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 18
INDUSTRY TRENDS Sanidad—resistente H E A LT H C A R E El sector de la sanidad experimentó un trastorno +5 operativo, con picos regulares en el tráfico de los centros de llamadas y en el tráfico de los sitios web. Los ciberataques a las instalaciones sanitarias no disminuyeron durante la pandemia, y muchas organizaciones aumentaron la cadencia 2020 2021 de las pruebas para reducir su superficie de 56 61 ataque. Como resultado, las capacidades de salud digital y los equipos de seguridad se han convertido en socios más estratégicos. CVSS, un 7,2 (Figura 3). El personal de TI, por ejemplo, tuvo que hacer frente al aumento de los servicios Al igual que otros sectores, el sector de la sanidad de telesalud y al traslado de empleados no clínicos también ha experimentado una aceleración de la a entornos de trabajo en casa, lo que aumentó la transformación digital. Antes de la pandemia, la superficie de ataque. Muchos socios del sector mayoría de los sistemas de salud tenían objetivos sanitario aceptaron el reto mejorando rápidamente para llevar a cabo iniciativas como la telesalud, la seguridad de los sitios web de COVID o probando implementar aplicaciones que apoyan la atención el software de los nuevos productos y manteniendo basada en el valor, aumentar la integración entre su proceso de corrección para minimizar el riesgo. los entornos de atención y mejorar la experiencia El sector demostró que podía moverse con rapidez del paciente a través de la implementación de una y agilidad sin comprometer la seguridad. De hecho, «puerta digital». El plazo para llevar a cabo estas puede ser el ejemplo de la transformación digital y iniciativas se redujo considerablemente. El sector demuestra que un cambio rápido a la izquierda no solo sanitario obtuvo la mayor puntuación promedia de es eficiente, sino que también puede ser más seguro. Servicios financieros— SERVICIOS FINANCIEROS en peligro -1 El sector de los servicios financieros ha sido históricamente uno de los principales objetivos de los ciberdelincuentes. Al principio de la pandemia, el sector sufrió una caída de 6 puntos, desde una ARS de 62 a principios de 2020 (Figura 1), pero empezó 2020 2021 a recuperarse en 2021. El cambio a la banca y las 59 58 operaciones virtuales generalizadas probablemente afectó a su superficie de ataque, pero los esfuerzos por cerrar rápidamente las vulnerabilidades y mantener tenido que mirar más allá de su enfoque tradicional un enfoque continuo de las pruebas ayudaron al para encontrar estrategias que les ayuden a impulsar sector a minimizar el impacto en la calificación la seguridad en toda su organización. El sector ARS. El sector de los servicios financieros, que es sigue siendo líder en seguridad, con la tercera un objetivo frecuente de los ciberdelincuentes, ha puntuación más alta de la ARS en abril de 2021. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 19
INDUSTRY TRENDS El comercio electrónico, ágil COMERCIO ELECTRÓNICO en la cresta de la ola Tanto el comercio electrónico como el sector minorista han aumentado drásticamente su calificación ARS desde julio de 2020. Estos sectores se vieron sometidos a una gran presión +10 para afrontar cambios masivos en sus modelos 2020 2021 operativos. Las empresas que han tenido éxito no 47 57 solo han conseguido adaptarse, sino que también han salido airosas con respecto a sus competidores al generar una mayor confianza en sus clientes. Los responsables de seguridad del comercio electrónico tienen la oportunidad de recalibrar las inversiones en tecnología y acelerar los planes de DOMINO’S PIZZA transformación digital existentes con la vista puesta en la seguridad. Aunque el sector ha pasado de ser uno de Domino's ha sido un líder del sector, ya que los sectores menos seguros a obtener una media sólida, ha servido como caso de estudio del sector, los atacantes siguen necesitando solo 16 horas para sobre todo en los espacios de entrega y encontrar una vulnerabilidad, el segundo tiempo más digital, la mitad de su plantilla en la sede bajo (Figura 4). De cara a 2021, el desplazamiento de se centra en el software y la analítica. La la seguridad a la izquierda será una parte importante organización se transformó con éxito, para garantizar que los planes de transformación pasando de ser una empresa de reparto acelerados se traduzcan en lanzamientos seguros. Y de pizzas a una empresa de tecnología y, para ello, los CISO tendrán que generar confianza como resultado, experimentó un crecimiento no solo con sus clientes, sino también con sus significativo. Sus ingresos superaron los desarrolladores. Las organizaciones de comercio 4000 millones de dólares en 2020. Domino's electrónico pueden utilizar soluciones de pruebas emplea pruebas de seguridad colaborativas de seguridad o servicios de seguridad colaborativos porque necesita una solución que refuerce para generar confianza y acelerar el desarrollo. sus activos para protegeros frente al tiempo de inactividad, que pueda integrarse fácilmente en el SDLC y que permita medir y comparar el rendimiento. Las pruebas de seguridad colaborativas han ayudado a su equipo de seguridad a permitir un rápido crecimiento del negocio y la transformación digital, ya que obtienen un 250 % más de actividad y rigor en las pruebas que en pruebas de penetración tradicionales. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 20
INDUSTRY TRENDS Tecnología: priorizar la TECNOLOGÍA seguridad +2 El sector tecnológico sigue mejorando su puntuación de seguridad, ya que ha aumentado su ARS en 2 puntos para empezar el año 2021 empatado con las empresas de comercio electrónico. El sector de la tecnología tiene las puntuaciones medias de gravedad 2020 2021 más bajas, en comparación con otros sectores, y 55 57 su tiempo de remediación está a la par con otros sectores (Figura 3). Las empresas tecnológicas también adoptaron tempranamente métodos de tecnológica y su equipo. Las métricas como la ARS desarrollo ágiles y se centraron en la seguridad en y las plataformas bajo demanda que ofrecen a los las primeras fases del proceso, lo que ha dado lugar equipos puntos de datos procesables ayudan a los a activos reforzados y a que las vulnerabilidades equipos de seguridad a medir los cambios en su sean más difíciles de encontrar para los atacantes. capacidad de respuesta ante las vulnerabilidades y las infracciones, lo que les proporciona la La velocidad es un componente importante información que necesitan para seguir protegiendo que subyace al éxito de un líder de seguridad sus organizaciones a la velocidad del desarrollo. Venta al por menor— V E N TA A L P O R M E N O R rápida respuesta Junto con el comercio electrónico, el comercio minorista ha aumentado significativamente su calificación en la ARS desde julio de 2020, con un salto de 9 puntos en la ARS del sector, que actualmente se +9 sitúa en 55. Este aumento sitúa al sector minorista 2020 2021 en la mitad del pelotón en cuanto a seguridad, 46 55 frente al penúltimo lugar que ocupaba en 2020. Según los datos del U.S. Retail Index de IBM, la Las empresas minoristas deben seguir integrando pandemia ha acelerado en unos cinco años el paso de la seguridad en el proceso de desarrollo para que las tiendas físicas a las compras digitales. El cambio ha los desarrolladores puedan lanzar aplicaciones ofrecido al sector grandes oportunidades: El porcentaje y actualizaciones de forma eficiente. Los de interacciones digitales con los clientes alcanzó responsables de la seguridad deben aprovechar el 60 % y se espera que siga aumentando. Algunos las herramientas de pruebas automatizadas para minoristas están dando prioridad a las inversiones obtener visibilidad de la gravedad de los hallazgos en seguridad de las plataformas de pago digital y hacer un seguimiento del tiempo de cierre de las para satisfacer las necesidades cambiantes de sus vulnerabilidades. Estas herramientas de comprobación clientes. Además, según PricewaterhouseCoopers deben integrarse en los flujos de trabajo existentes muchos equipos de ciberseguridad y privacidad se para garantizar que la seguridad se incorpore encargan de crear una visión única y completa del al ciclo de vida del desarrollo y que los fallos se consumidor en todos los canales de interacción. detecten antes de la publicación del software. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 21
INDUSTRY TRENDS Fabricación e FA B R I C AC I Ó N / C I infraestructuras críticas: afrontar los nuevos desafíos El sector de la fabricación y las infraestructuras críticas se ha enfrentado a un impacto significativo en +5 las operaciones empresariales debido a la pandemia 2020 2021 y a los ataques maliciosos, pero la peor caída de 45 50 la ARS se produjo el año anterior, cuando la ARS del sector cayó 25 puntos. En mayo, por ejemplo, el sector sufrió el peor ataque de los últimos tiempos con el ransomware que comprometió a Colonial Pipeline, que dejó fuera de servicio la red de transporte de petróleo y gas durante más de una semana. SECTOR DE LA ENERGÍA El sector se recupera poco a poco de su caída en la calificación ARS, ganando 5 puntos en 2021 gracias Una empresa de la lista Fortune 500 del al fortalecimiento de los activos y al aumento de la sector energético pudo habilitar el negocio eficacia de la remediación. Aun así, la calificación y reducir el riesgo mediante pruebas ARS del sector sigue estando por debajo de la de seguridad eficientes y efectivas con media. Con los recientes ataques informáticos a los datos necesarios para poder cerrar infraestructuras críticas como el Colonial Pipeline, el las vulnerabilidades durante la semana sector necesita seguir protegiendo su gran superficie siguiente a que se hayan identificado. El de ataque con soluciones que proporcionen una cliente necesitaba una prueba que pudiera cobertura continua y permitan a las organizaciones ponerse en marcha rápidamente, para ofrecer descubrir las vulnerabilidades explotables antes que garantías sobre los activos y evaluar el los atacantes. Mantener parcheados y actualizados riesgo que conllevaban antes de liberarlos. los servidores y la infraestructura de red orientada Gracias a su asociación con Synack, todo a Internet puede ayudar a mitigar el riesgo. el proceso, lo cual incluye la corrección y la repetición de las pruebas, se ejecutó en una fracción del tiempo que antes se tardaba con los probadores tradicionales. El sector energético protege las infraestructuras críticas y las cadenas de suministro que mantienen operativas a organizaciones de todo el mundo. Con asociaciones como esta, pueden reducir el riesgo y agilizar todo el proceso de pruebas y correcciones a escala de sus organizaciones globales. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 22
INDUSTRY TRENDS Administración estatal, local SLED y de la educación (SLED): margen de mejora La media del sector de la Administración estatal, local y de la educación (SLED) se ha mantenido estable a -1 lo largo del último año; sin embargo, a medida que 2020 2021 otras industrias han aumentado su puntuación, la 50 49 calificación del sector se ha situado por debajo de la media. Si bien las organizaciones que componen este sector público han avanzado en la disminución de sus días para cerrar las vulnerabilidades, todavía hay una oportunidad para ampliar las pruebas en toda su E S TA D O D E C O L O R A D O superficie de ataque. Al aprovechar a los hackers éticos, Los destacados que lideran la carga: El las organizaciones de SLED escalan sus pruebas Estado de Colorado forma parte de un para garantizar que los mejores investigadores de movimiento más amplio hacia los métodos de seguridad del mundo estén probando sus sistemas pruebas de seguridad colaborativas, como la para que puedan descubrir las vulnerabilidades divulgación de vulnerabilidades y las pruebas más impactantes y cerrarlas con rapidez. de penetración colaborativas para asegurar las elecciones y otras infraestructuras Consultoría y servicios de críticas. En 2020, Colorado lanzó un nuevo TI—Impulsar la cultura de la programa para ayudar a proteger los sistemas electorales de Colorado como seguridad parte de las elecciones presidenciales de La puntuación del sector de consultoría y servicios de 2020. Colorado es el primer estado del TI aumentó a 52, ya que sus empresas miembros han país que realiza una prueba piloto, y luego escalado sus pruebas y han implementado procesos exige auditorías de limitación de riesgos para solucionar las vulnerabilidades con mayor rapidez. a nivel estatal. Colorado es también el El tiempo de remediación del sector se redujo en un primer estado que apoya públicamente la 32 % desde julio de 2020. La realización de estas divulgación de vulnerabilidades y las pruebas grandes mejoras suele requerir la comunicación y la de penetración colaborativas en los sistemas cooperación interfuncionales, así como la adopción electorales, y uno de los primeros estados de una cultura que dé prioridad a la seguridad. en participar activamente en DEFCON. Las organizaciones de consultoría y servicios de TI suelen impulsar el cambio de cultura con sus clientes. Lo están demostrando cuando se trata de adoptar C O N S U LT O R Í A / T I un flujo de trabajo más seguro dentro de sus propias +4 organizaciones y de adoptar herramientas para apoyar la transformación. Las pruebas de seguridad proporcionan a las organizaciones los datos necesarios para reforzar su cultura de seguridad, lo cual hace posible una gestión más detallada de las vulnerabilidades reales y 2020 2021 produciendo métricas que pueden proporcionar a los 48 52 líderes empresariales indicadores clave de rendimiento. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 23
INDUSTRY TRENDS A P R O V E C H A R A L M Á X I M O L A AT TA C K E R R E S I S TA N C E S C O R E La Attacker Resistance Score (ARS) de Synack es SYNACK RED TEAM una medida del grado de protección de sus activos El Synack Red Team (SRT) está formado frente a los ataques, basada en lo más parecido por los investigadores de seguridad ética a un ataque real y coordinada por un equipo de con más talento de todo el mundo. investigadores de seguridad de confianza. El SRT es un grupo diverso de expertos en La Attacker Resistance Score representa una seguridad altamente cualificados, que incluye trayectoria. Las empresas que alcanzan una a los mejores investigadores del mundo calificación ARS de 100 no han «terminado» con la académico, de la administración y del sector seguridad. Las organizaciones más seguras, como privado. El SRT cuenta con la representación las que dan prioridad a las pruebas de seguridad de más de 80 países diferentes de todo el y analizan de forma proactiva los nuevos activos mundo y con cientos de años de experiencia y aplicaciones digitales, utilizan la calificación combinada en materia de pruebas. Muchos ARS para cuantificar su postura de seguridad en de los investigadores de Synack son los diferentes momentos para realizar un seguimiento principales productores de los programas de de su progreso, priorizar los activos y evaluar su divulgación de vulnerabilidades de la industria, riesgo. Es normal que las puntuaciones fluctúen, y hablan regularmente en eventos de la especialmente cuando se actualizan los activos, industria como DefCon, AppSec y Black Hat. como cuando se lanza una nueva versión de una aplicación. De hecho, una puntuación baja da a las organizaciones la oportunidad de entender sus áreas más débiles y cerrar esas vulnerabilidades antes de que un atacante malicioso pueda encontrarlas. He aquí las recomendaciones para mejorar la calificación ARS: Aumentar el coste del atacante 01 Involucre a sus equipos de desarrollo e infraestructura para reducir la frecuencia de las vulnerabilidades y hacer que estas sean más difíciles de encontrar. Cuanto más tiempo e intentos de ataque se requieran para encontrar una vulnerabilidad, mayor será el impacto positivo en su ARS. Reducir la gravedad de los hallazgos 02 Trabaje con los desarrolladores para integrar la seguridad en el ciclo de vida del desarrollo y realice pruebas tempranas para reducir el número de vulnerabilidades en la producción. Cuantas menos vulnerabilidades se encuentren, mayor será la calificación ARS. Resolver rápidamente las vulnerabilidades 03 Cuanto más corto sea el tiempo de remediación, más rápido empezará a recuperarse su puntuación. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 24
TENDENCIAS EN LA CALIFICACIÓN DE LA ATTACKER RESISTANCE SCORE
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E FIGURE 3. RESUMEN DEL SECTOR Tiempo medio de CVSS medio Incidentes/brechas remediación (días) Gobierno 1 6.9 32 3,236/885 Sanidad 7.2 56 655/472 Servicios financieros 6.7 54 721/467 Tecnología 2 6.4 54 2,935/381 Comercio electrónico 6.6 48 N/A Venta al por menor 6.8 52 725/165 SLED3 6.8 62 1,332/344 Consultoría/Servicios 6.8 56 194/67 empresariales y de TI 4 Fabricación/ 6.8 53 633/290 Infraestructura crítica 5 1. Sector público en el informe DBIR de 2021 de Verizon. 2. Información del sector a partir del informe DBIR de 2021 de Verizon. 3. El sector de la educación a partir del informe DBIR de 2021 de Verizon. 4. Sector de otros servicios del informe DBIR de 2021 de Verizon. 5. Categoría de fabricación y servicios públicos del informe DBIR de 2021 de Verizon. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 26
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E Attacker Resistance Score rating trends C O S T E D E L ATA C A N T E FIGURE 4. ES HORA DE El punto de partida de la calificación Attacker Resistance ENCONTRAR UNA VULNERABILIDAD Score cuantifica el esfuerzo que se requiere para intentar penetrar en la superficie de ataque del activo Media (horas y descubrir vulnerabilidades utilizando datos de tráfico Sector para encontrar de pruebas de penetración específicos de la evaluación vulnerabilidades) sobre toda la actividad de pruebas del investigador para comprender su estructura subyacente. Los datos Gobierno 20 proceden de las pruebas de penetración de Synack y de los compromisos de seguridad colaborativos.2 Sanidad 19 Si bien el cálculo del coste de los atacantes es más complejo, ya que incluye la cuantificación del trabajo y el poder de los atacantes, el tiempo para encontrar Servicios financieros 18 una vulnerabilidad se utiliza en este informe como un indicador para medir las tendencias y los cambios Tecnología 24 en el coste de los atacantes de la industria. Un mayor tiempo para encontrar una vulnerabilidad significa que la superficie de ataque puede estar más fortalecida Comercio electrónico 18 y ser más resistente a los ataques maliciosos, lo que equivale a una mayor calificación ARS. Venta al por menor 17 Aumentar el esfuerzo y el tiempo que los atacantes necesitan para encontrar vulnerabilidades SLED 15 explotables es una forma fundamental de disuadir a los actores maliciosos. La cuantificación del esfuerzo de los atacantes forma parte del cálculo Consultoría/Servicios 18 empresariales y de TI de la calificación ARS y de la forma en que Synack mide la resistencia de los atacantes (Figura 4). Fabricación/ 18 Infraestructura crítica A medida que las organizaciones endurecen sus superficies de ataque y cierran las vulnerabilidades explotables, los atacantes maliciosos tendrán que Media 19 dedicar más esfuerzo y mayores recursos para encontrar vulnerabilidades explotables. Probar los activos en una cadencia continua utilizando un cuerpo diverso de investigadores de seguridad ayuda a las organizaciones a reforzar los activos y a aumentar el empresas a adelantarse a los atacantes maliciosos. coste de los ataques, ya que los equipos de seguridad Además, la incorporación de la seguridad en una fase e ingeniería encuentran y corrigen las vulnerabilidades más temprana del proceso de desarrollo ayuda a las en una fase más temprana del desarrollo. 2 Attacker time is used as a proxy to simplify the calculation used in the ARS rating. For additional details on attacker cost calculation refer to the appendix. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 27
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E Gravedad de los resultados Aunque las vulnerabilidades de la lógica empresarial constituyen el siete por ciento de las vulnerabilidades encontradas, a medida que los clientes prueban sus activos durante más tiempo, la cantidad de vulnerabilidades de la lógica empresarial encontradas aumentó un 37 % (Figura 5). A medida que los clientes realizan pruebas durante largos periodos de tiempo y los activos se endurecen, las organizaciones pueden centrar sus esfuerzos en encontrar y solucionar vulnerabilidades más complicadas y graves. Las principales categorías de vulneraciones de los últimos años se han mantenido constantes: Autorización/permiso, divulgación de información y Cross Site Scripting. F I G U R E 5 . D I S T R I B U C I Ó N D E L A V U L N E R A B I L I D A D P O R C AT E G O R Í A Tipo de vulnerabilidad en % del total 2021* 2020 2019 Autenticación/Sesión 5% 6% 6% Authorization/Permission 25% 26% 22% Fuerza bruta 2% 2% 2% Inyección de contenidos 3% 3% 3% Criptografía
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E El CVSS promedio de las vulnerabilidades se mantuvo bastante estable desde 2019 hasta el primer trimestre FIGURE 6. MEDIA DE CVSS POR AÑO de 2021 (Figura 6). El CVSS de una vulnerabilidad ayuda a las organizaciones a priorizar las respuestas y los recursos según la amenaza en una escala Año Media CVSS de 0 a 10. La gravedad de los descubrimientos es otro componente del cálculo de la calificación 2019 6.7 ARS que cuantifica la gravedad y la cantidad de vulnerabilidades descubiertas contra sus activos 2020 6.6 objetivo. Esto es solo un componente de la ARS. Centrarse solo en las vulnerabilidades más graves 2021* 6.6 puede dejar oportunidades para que los atacantes maliciosos utilicen vulnerabilidades menos graves con * 2021 se basa en datos hasta el primer trimestre de 2021 las que encontrar formas de entrar en sus activos. FIGURE 7. CVSS PROMEDIO POR TIPO DE ACTIVO 8.0 7.7 6.0 6.3 5.5 4.0 2.0 0.0 Host Web Móvil 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 29
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E Más de un tercio (el 37 %) de las vulnerabilidades y la verificación de parches son fundamentales detectadas por el equipo rojo de Synack fueron de para reducir las vulnerabilidades y su gravedad. gravedad alta o crítica (Figura 8). A medida que las Las vulnerabilidades de autorización/permiso organizaciones amplían sus pruebas de seguridad en aceptadas aumentaron un 18 % de 2020 a 2019 y el XSS diferentes activos, priorizar los esfuerzos de corrección ha aumentado un 17 % en el primer trimestre de 2021. por nivel de gravedad puede ser una estrategia útil Las vulnerabilidades críticas aceptadas disminuyeron para gestionar la carga de trabajo de su organización. ligeramente en 2020, lo que permitió un cambio de Los activos de host tienen la puntuación media enfoque hacia hallazgos menos graves. Esto implica la más alta del Common Vulnerability Scoring System adopción de mejores mecanismos de detección y una (CVSS) en comparación con otros tipos de activos mayor comprensión de la mentalidad de los atacantes (7,7). La divulgación de información y la autorización/ y el encadenamiento de vulnerabilidades Basándose en permisos son las categorías de vulnerabilidad estos datos, Synack prevé un aumento continuo de las más populares encontradas en los activos del vulnerabilidades y la gravedad en los próximos años, ya host (Figura 5). Los malos actores tienen como que las organizaciones siguen siendo más proactivas objetivo determinados entornos en busca de en sus pruebas y escalan en todos sus activos. vulnerabilidades, por lo que las pruebas, la corrección FIGURE 8: DISTRIBUCIÓN DE LAS VULNERABILIDADES POR N I V E L D E G R AV E D A D 5% medio 16% alto crítico 57% bajo 21% 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 30
También puede leer