LA ECONOMÍA SE BASA EN LA CONFIANZA - MEDIR LA SEGURIDAD, CREAR CONFIANZA - 2021 SYNACK TRUST REPORT
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
2021 SYNACK TRUST REPORT LA ECONOMÍA SE BASA EN LA CONFIANZA MEDIR LA SEGURIDAD, CREAR CONFIANZA
La confianza es fundamental.
La principal plataforma colaborativa de Synack
para la experiencia en seguridad bajo demanda
aprovecha a los hackers éticos con más talento
del mundo y la tecnología inteligente para
ofrecer una cobertura continua a la carta, con
resultados procesables.Table of Contents Prólogo 4 Principales resultados 6 El panorama 11 Tendencias del sector 16 Tendencias en la calificación de la Attacker Resistance Score 25 Perspectivas ejecutivas: Prioridades en 2021 32 Metodología y resumen del sector 35
FOREWORD
Permitir la transformación a través de las
pruebas y la confianza
En bp, tenemos un objetivo claro: reimaginar la Encontrarán la brecha en su sistema que usted creía
energía para las personas y el planeta. Queremos cerrada hace años pero que se volvió a abrir en una
llegar al cero neto en 2050 o antes y ayudar al actualización o lanzamiento reciente del sistema.
mundo a alcanzar el objetivo de cero emisiones. Para
Además, los resultados de esas pruebas deben
lograr estos objetivos, reevaluamos constantemente
ser exhaustivos, procesables y estar disponibles a
nuestros procesos y enfoques para asegurarnos de
través de un portal para que se puedan compartir
que estamos siguiendo el mejor camino posible.
a través de las organizaciones rápidamente con el
Adoptamos el mismo enfoque cuando se trata de fin de ayudar rápidamente a otros equipos que tal
la seguridad. Por ello, nuestros equipos digitales vez —solo tal vez—estén utilizando el mismo código.
desempeñan un papel fundamental en esta
transformación global, y nuestros equipos de C Ó M O T R A N S F O R M A M O S N U E S T R O R É G I M E N
ciberseguridad se encargan de que bp innove de DE PRUEBAS
forma segura y mantenga la velocidad y la escala En bp nos propusimos reinventar nuestro servicio
necesarias para alcanzar nuestros objetivos. de pruebas de penetración en los últimos meses
Las pruebas son cruciales para esta misión. Piense porque nuestros clientes internos nos dijeron que
en esto: cuando lleva a su familia a una cena elegante querían servicios de seguridad más rápidos.
en un restaurante situado en la planta 45, no se Ahora, gracias a nuestra asociación con Synack,
lo pensaría dos veces antes de entrar en el primer lanzamos pruebas en cuestión de horas con un grupo
ascensor que llegue. Sin embargo, ¿qué sucede de investigadores de todo el mundo. Pero, lo que
si llegan dos ascensores al mismo tiempo? es más importante, obtenemos una inteligencia de
En uno de ellos, se ve un certificado de seguridad seguridad completa y procesable, clasificada, con
obsoleto. La última prueba se realizó en 2018, y desde hallazgos confirmados e informes completos casi
entonces ha tenido más de 100 actualizaciones y en tiempo real, lo que supone un enorme ahorro de
se desconoce el estado de cualquier problema. tiempo y de recursos para los equipos de seguridad
y desarrollo de bp. Esto significa que estamos
El otro se probó el mismo día en que usted y su corrigiendo las vulnerabilidades y verificándolas
familia llegaron al edificio y todos los problemas antes de que las pruebas hayan terminado.
detectados se han solucionado satisfactoriamente.
También significa que los desarrolladores de bp
Yo sé por cuál me decantaría. Las pruebas (cuando y los propietarios de los servicios se dirigen a
se trata de seguridad, protección y resistencia) nosotros de forma proactiva y nos solicitan pruebas,
marcan toda la diferencia del mundo. en lugar de tener que perseguirles nosotros y
obligarles a realizarlas. Es una victoria increíble
En ciberseguridad, una prueba de penetración
para cualquier organización. Nos acerca a la
realizada hace años ya no tiene ninguna
seguridad por diseño. Y también hemos recibido
importancia en la actualidad, simple y llanamente.
excelentes comentarios de nuestros probadores.
Los atacantes actualizan constantemente sus
Es muy gratificante oírles decir cosas buenas
métodos y buscan nuevas vulnerabilidades. No se
sobre nuestra rápida velocidad de parcheo.
toman los fines de semana ni los festivos libres.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 4FOREWORD
Esta nueva cadencia de pruebas nos está ayudando a La seguridad es un esfuerzo de equipo. Implica
establecer una cultura de seguridad más rigurosa en a todo el mundo dentro de la organización. No
todo bp. Es poner la seguridad en el centro de nuestro podemos tener éxito solos y para garantizar que
proceso de diseño y desarrollo. Estamos más cerca de seguimos teniendo la confianza de nuestros
ser seguros por diseño. bp ha adoptado plenamente clientes, socios y empleados, las pruebas continuas
una innovación segura, lo que significa que la y rigurosas forman parte de la ecuación. Sin
ciberseguridad está integrada en todo lo que hacemos. eso, estaríamos entrando en ese ascensor no
probado o depositando nuestra fe en sistemas
ENTONCES, ¿QUÉ ES LO SIGUIENTE? vulnerables. Simplemente no podemos operar así.
Medidas como la Attacker Resistance Score (ARS)
mantienen nuestra honradez y nuestro nivel de
R I T E S H PAT E L
conocimiento sobre lo que ocurre. La ARS nos
DIRECTOR DE SEGURIDAD DE BP
permite evaluar constantemente nuestros resultados
y comparar nuestra actuación en los distintos
sectores. Es un indicador sólido de que bp está
actuando por encima de la media del sector, lo
que envía un mensaje claro y potente dentro de la
organización de que la seguridad (y la confianza)
son esenciales en todo lo que hacemos en bp.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 5PRINCIPALES RESULTADOS 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 6
P R I N C I PA L E S R E S U LTA D O S
Los ciberataques han hecho tambalear la confianza de los consumidores en
los últimos meses y han provocado el pánico a varios niveles. Han provocado
encendidos debates sobre el grado de preparación de Estados Unidos para
defender las infraestructuras críticas. El presidente Joe Biden emitió una
Orden Ejecutiva en la que pedía una revisión de las defensas digitales de la
nación, afirmando que Estados Unidos se enfrenta a «campañas cibernéticas
maliciosas persistentes y cada vez más sofisticadas». Todo esto llega después
de un año de agitación y transformación empresarial. La pandemia aceleró
las iniciativas de transformación digital de las operaciones e impulsó los
esfuerzos por implantar la seguridad de confianza cero para los trabajadores a
distancia.
Con demasiada frecuencia, las vulnerabilidades dejan a las organizaciones
peligrosamente expuestas. El año pasado, la base de datos de vulnerabilidad
del US-CERT registró casi 17 500 vulnerabilidades, una cifra récord por cuarto
año consecutivo. Más de un tercio (el 37 %) de las vulnerabilidades detectadas
por el Synack Red Team (SRT), nuestra red global de investigadores de
seguridad altamente cualificados y examinados, entre 2020 y abril de 2021 se
consideraron importantes o críticas. Además, el SRT observó un aumento del
14 % en los últimos dos años en las vulnerabilidades de autorización y permiso,
que pueden dar a los atacantes acceso a las redes y sistemas más sensibles.
La naturaleza de las amenazas actuales hace que el CISO sea todavía
más vital. Además de las transformaciones digitales, las organizaciones se
enfrentaron a importantes ataques realizados a nivel nacional. En el futuro,
el papel del CISO y de los equipos de seguridad seguirá evolucionando y
ampliándose. De hecho el 55 % de los ejecutivos de las empresas planean
aumentar sus presupuestos de ciberseguridad en 2021 y el 51 % está
añadiendo personal cibernético a tiempo completo en 2021. Para determinar
hasta qué punto las organizaciones están preparadas para defenderse frente
a todo tipo de ataques digitales, Synack examinó las tendencias de las
calificaciones de la Attacker Resistance Score™ (ARS) de nuestros clientes1,
una medida propia diseñada para ofrecerle una visión única y valiosa de su
nivel de riesgo.
1 La calificación Attacker Resistance Score (ARS), propiedad de Synack, es una medida del grado de protección de sus activos frente a un ataque. La ARS
global proporciona una visión completa de la susceptibilidad del activo objetivo a los ataques, basada en un algoritmo patentado desarrollado por el equipo
de ciencia de datos de Synack. Es una función del coste del atacante, la gravedad de los hallazgos, la habilidad de la TER y la eficacia de la reparación. En
el apéndice se ofrecen más detalles sobre la calificación ARS.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 7P R I N C I PA L E S R E S U LTA D O S
AT TA C K E R R E S I S TA N C E S C O R E ( A R S )
P U N T U A C I Ó N D E AT TA C K E R R E S I S TA N C E S C O R E
Este informe se basa en los datos de la calificación
patentada Attacker Resistance Score (ARS) y
extrae información directamente de la plataforma Una métrica
de seguridad colaborativa de Synack, basada en
miles de pruebas de seguridad realizadas por realista basada en
hackers éticos examinados hasta abril de 2021.
un modelo robusto
La calificación de la Attacker Resistance Score va de
0 a 100. Las puntuaciones más altas indican que las
organizaciones tienen una mayor resistencia a los
esfuerzos de los atacantes: Son menos vulnerables
a ser derribadas por los delincuentes informáticos
Puntuación de Attacker
porque tienen menos vulnerabilidades de alta gravedad, Resistance Score
solucionan los problemas de seguridad con mayor
rapidez y tienen defensas reforzadas que requieren
más esfuerzo para los atacantes. Una puntuación =
más baja significa que las organizaciones tienen una
superficie de ataque que es más fácil y menos costosa
de penetrar, responden con mayor lentitud a las Coste del atacante
vulnerabilidades y desconfiguraciones, y se enfrentan a El nivel de esfuerzo ejercido por el Synack Red
un mayor riesgo general de un compromiso o violación. Team para penetrar en la superficie de ataque y
encontrar vulnerabilidades
Algunas buenas noticias en un año difícil, en 2021: La
calificación media de la ARS en todos los sectores
fue de 57, lo que supone un ligero, pero significativo,
aumento positivo con respecto a la ARS media del año
pasado, que fue de 54. Si bien algunas organizaciones
han recibido una ARS de nada menos que 100, las Gravedad de los
organizaciones que obtienen una puntuación superior
a 70 tienen una indicación sólida de que sus resultados
prácticas de seguridad están dando resultados. La gravedad y la cantidad de vulnerabilidades
descubiertas en un activo
Las empresas que dan importancia a las pruebas de
seguridad y analizan de forma proactiva los nuevos
activos y aplicaciones digitales tendrán, a largo
plazo, defensas más sólidas y menos infracciones.
Incluso los equipos de seguridad más proactivos
verán caer periódicamente la calificación ARS de sus
empresas con una actualización importante o con
Eficacia de la
nuevos productos, pero estas organizaciones pueden reparación
identificar y abordar rápidamente los nuevos problemas
La eficacia con la que una organización resuelve
y, por tanto, estar mejor posicionadas para defenderse
los problemas identificados en sus entornos
en relación con la competencia. El objetivo no es
conseguir la máxima puntuación y seguir adelante,
sino medir continuamente la capacidad de las nuevas
tecnologías y los activos para resistir los ataques.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 8P R I N C I PA L E S R E S U LTA D O S La mayoría de los sectores mejoraron su ARS en 2021 En todos los sectores, las puntuaciones se han recuperado de los descensos anteriores y, en 2021, todos los sectores, excepto dos, mejoraron su promedio de ARS, siendo el comercio electrónico, el comercio minorista y la sanidad los sectores que registraron las mejoras más significativas en comparación con el año anterior. Tanto el gobierno federal como el sector sanitario sufrieron cambios significativos en las operaciones y la presión para mejorar la eficiencia durante la pandemia, y ambos sectores salieron bastante bien parados. Los dos sectores que no mejoraron (servicios financieros y administración estatal, local y de la educación [SLED]) vieron caer su ARS en un solo punto. Aunque el sector de la manufactura y las infraestructuras críticas sufrió una enorme caída en su Attacker Resistance Score en 2020, el sector recuperó 5 puntos en su ARS en 2021. Al final, casi todos los sectores avanzaron hacia una mayor resistencia a los ataques que antes, y la puntuación media de todas las empresas analizadas aumentó de 54 a 57. Los atacantes necesitan menos tiempo para encontrar vulnerabilidades Por término medio, los encargados de las pruebas de penetración solo necesitaron 18 horas humanas para encontrar una vulnerabilidad en las aplicaciones seleccionadas, frente a las 21 horas humanas de 2020. Sin embargo, algunos sectores endurecieron sus aplicaciones con mucho más éxito que otras, haciendo que fuera más costoso y más largo encontrar las vulnerabilidades, lo que se tradujo en una mayor calificación de ARS. El sector sanitario, por ejemplo, tuvo más facilidades para encontrar vulnerabilidades en 2020, puesto que requirió solo 15,5 horas humanas de media, pero mejoró esa cifra a 20 horas humanas en 2021. Aunque el sector gubernamental se mantuvo en el extremo superior de la lista (y empatado con el de la sanidad en 2021), el sector pasó de una media de 30 horas humanas para encontrar los primeros problemas de seguridad en 2020 a solo 20 horas humanas en 2021, lo que refleja un objetivo más fácil para los atacantes. Las empresas mejoran la velocidad de remediación, lo que dificulta la labor de los atacantes En 2020, Synack descubrió que los equipos de desarrollo de software que integraban la seguridad en el ciclo de vida del desarrollo mostraban una mejora sustancial de la ARS en un solo año con pruebas continuas. En el último informe, también encontramos indicios de que la priorización inteligente de las vulnerabilidades ha dado sus frutos en 2021, ya que los problemas de gravedad crítica se solucionaron en 32 días de media, un 10 % más rápido que en 2020, mientras que los problemas de gravedad alta y media tardaron 46 y 61 días de media en solucionarse, respectivamente. Esto es un fuerte indicador de que las organizaciones son más rápidas a la hora de remediar los problemas conocidos y han establecido defensas para prevenir la explotación de las vulnerabilidades de día cero. 2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 9
P R I N C I PA L E S R E S U LTA D O S
Los CISO se convierten en los guardianes de la
confianza de la empresa
La confianza en todas las instituciones se tambaleó durante la pandemia, según el Edelman
2021 Trust Barometer, una encuesta mundial en la que participaron 33 000 encuestados de
28 países. De hecho, se descubrió que el 68 % de las personas están «preocupadas» y el 35
% «temerosas» ante los delincuentes informáticos y los ciberataques. Esas preocupaciones
(especialmente a la luz de un número creciente de ataques informáticos de alto perfil)
han creado pruebas críticas para los directores generales y especialmente para los CISO
cuando se trata de reconstruir la confianza de sus clientes y garantizar que la falta de
seguridad no se sume a esos desafíos. Los CISO son fundamentales para dar soporte a
ese esfuerzo, y muchas de las acciones más cruciales para la creación de confianza (como
la protección de la calidad de la información) recaen en los equipos de seguridad.
«La confianza es un ethos central para GDIT; de hecho, es uno de nuestros 4 valores
fundamentales junto con la transparencia, la honestidad y la alineación›› dice Michael Baker,
Chief Information Security Officer at General Dynamics Information Technology. “Generar
confianza entre nuestros clientes, nuestros empleados y nuestros equipos cibernéticos es vital
para mi función como CISO de GDIT. Para los clientes, la protección de los datos bajo nuestra
custodia es primordial para ayudarles a alcanzar los objetivos de su misión. Cada empleado
de GDIT confía en nosotros para proteger no solo su información personal, sino también la
información confidencial de la empresa que nos mantiene competitivos en el mercado. Por
último, nuestros equipos cibernéticos confían en nosotros para guiarles y orientarles hacia
trayectorias profesionales satisfactorias en las que se ofrecen diversas experiencias para
aprender y crecer. Medir el riesgo y elegir cuidadosamente las capacidades correctas con
los socios comerciales adecuados que entienden el panorama actual de las amenazas me
ayuda a lograr esos tres objetivos clave que definen el éxito de nuestras partes interesadas».
“ Generar confianza entre nuestros clientes, nuestros
empleados y nuestros equipos cibernéticos es vital
para mi función como CISO de GDIT.”
MICHAEL BAKER
RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN
G E N E R A L D Y N A M I C S I N F O R M AT I O N T E C H N O L O G Y
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 10EL PANORAMA
Las empresas se han enfrentado a importantes trastornos, no solo
por los efectos de una pandemia en curso, sino por la creciente
incidencia de ataques de ransomware y sofisticadas operaciones
de espionaje, como el compromiso de la cadena de suministro que
comenzó con SolarWinds, los ataques de día cero a los servidores
de Microsoft Exchange y, más recientemente, el ataque a Colonial
Pipeline. Las tendencias indican que las empresas no solo tienen que
asegurar sus propios activos, sino que también necesitan conocer
mejor la seguridad de sus proveedores y socios.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 12E L PA N O R A M A
La transformación digital despega
Aunque la pandemia perturbó las operaciones comerciales de muchos sectores, hubo
un aspecto positivo: Las empresas tuvieron que acelerar la transformación digital
para seguir operando con una plantilla distribuida y atender a los clientes. Para los
responsables de seguridad, la situación exigía más flexibilidad a la hora de impulsar
nuevos enfoques en su estrategia de ciberseguridad, lo cual aumentó la resistencia y
disminuyó el riesgo de seguridad, al tiempo que se mejoraba la agilidad de la empresa.
El resultado final es que las operaciones se volvieron más ágiles, más eficientes y
mejor preparadas para responder de forma eficaz a las amenazas imprevistas.
En una reciente encuesta de Fortune/Deloitte, el 85 % de los directores generales
coincidieron en que la transformación digital de sus organizaciones se había acelerado
considerablemente durante la crisis. Muchas organizaciones aprovecharon la pandemia
como una oportunidad para repensar su experiencia digital, volver a comprometerse
con los empleados y reevaluar las estrategias de crecimiento. La pandemia les dio el
impulso para aprovechar la tecnología e impulsar la eficiencia y el crecimiento.
El Laboratorio Nacional de Oak Ridge (el mayor laboratorio científico y
energético del Departamento de Energía) tuvo que adaptarse rápidamente,
como tantos otros. De repente, los 6000 empleados del laboratorio, con la
excepción de 1000, tuvieron que realizar su trabajo a distancia. A través de sus
asociaciones con organizaciones como Synack, Oak Ridge ha podido adaptar
su modelo DevSecOps en un entorno virtual. Las pruebas de seguridad
remotas y colaborativas les permitieron obtener una perspectiva adversa de
su riesgo, escalar sus defensas y modernizar su enfoque de seguridad.»
“ Probando aplicaciones o procesos a través
de Synack, y algunos otros que utilizo,
pudimos implementar y proporcionar un
entorno más seguro»
KEVIN KERR
RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN
D E L L A B O R AT O R I O N A C I O N A L D E O A K R I D G E
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 13E L PA N O R A M A
La preocupación por la
seguridad se centra en la SOLARWINDS
cadena de suministro y las El ataque informático sufrido por SolarWinds
infraestructuras críticas afectó a una gran variedad de sectores, ya que
Tres grandes compromisos revelados a finales de comprometió los sistemas de al menos nueve
2020 y principios de 2021 volvieron a centrar a las agencias gubernamentales y más de 100
organizaciones en la creación de defensas más empresas privadas, entre ellas Intel, Nvidia y
profundas capaces de atrapar los ataques al software Microsoft. La amplitud del ataque puede tardar
de confianza. En diciembre de 2020, la comunidad de años en ser comprendida en su totalidad.
seguridad y el gobierno estadounidense descubrieron
Es posible que las pruebas no pudiesen
un ataque que modificó una actualización del
haber impedido que el sofisticado adversario
software de monitorización de redes de SolarWinds
nacional plantara su único vector de
para comprometer miles de sistemas. A principios
acceso, porque estaba incorporado en
de 2021, un conjunto de vulnerabilidades de día cero
el software, lo que hacía muy difícil su
en los servidores Exchange de Microsoft permitieron
detección. Sin embargo, las pruebas de
a agentes de estados nacionales comprometer a
seguridad colaborativas continuas podrían
cientos de empresas. Y, en mayo de 2021, la red
haber permitido identificar los puntos
de transporte de petróleo y gas, Colonial Pipeline,
débiles dentro de las redes y ayudar a
sufrió un ataque de ransomware que perjudicó
prevenir la explotación posterior de los
gravemente las operaciones, lo cual interrumpió el
sistemas internos. El movimiento lateral
suministro de combustible en el este de Estados
de los atacantes, en la mayoría de los
Unidos, aumentó el temor de los consumidores y
casos, abusó del acceso privilegiado
provocó el robo de 100 GB de datos. Los incidentes
a la red. Las pruebas pueden señalar
subrayan que los proveedores y vendedores se han
dónde deben reparar las organizaciones
convertido en la vía más fácil para los atacantes.
las redes con exceso de privilegios.
Como resultado de los ataques a la cadena de
Además, las pruebas proporcionan una
suministro de software, muchos equipos de seguridad
herramienta útil para endurecer los sistemas
esperan que sus presupuestos aumenten, con
internos, poner a punto los sistemas de
las prioridades de financiación centradas en la
vigilancia y formar a los defensores en el
adquisición de herramientas para la búsqueda de
oficio del adversario. El ataque podría dar
amenazas, la respuesta a incidentes y el análisis
lugar a operaciones más desconectadas,
forense, la contratación de más personal para llevar a
con lo que enviaría algunas cargas de
cabo estas actividades y el despliegue de iniciativas
trabajo sensibles a entornos totalmente
de confianza cero. Más de la mitad, el 57 %, de los
aislados, lo que supone un giro respecto
profesionales de la seguridad también desean
a la confianza cero que depende de los
una mayor inversión en seguridad ofensiva, según
controles de autenticación para validar el
el informe 2021 Signals in Security de Synack.
acceso de los usuarios. No hay duda de que
SolarWinds cambiará las reglas del juego
en la industria y la administración pública.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 14E L PA N O R A M A
Los equipos multifuncionales son cada
vez más importantes
En 2021, los CIO seguirán impulsando con fuerza la transformación digital, la innovación
empresarial y otras inversiones tecnológicas agresivas, que centrarán a las empresas en
habilitar nuevos modelos de negocio y fuentes de ingresos. Como consecuencia de estos
esfuerzos, el CISO se situará en el centro de las iniciativas empresariales críticas, en las
que el ejecutivo lidera equipos multifuncionales para hacer coincidir la velocidad de las
transformaciones digitales con estrategias de seguridad y privacidad ágiles y con visión
de futuro. Los líderes de seguridad que se centran en la operacionalización de la seguridad
serán los más capacitados para ofrecer un rendimiento seguro del sistema en toda la
organización en medio de la transformación continua y las amenazas cambiantes.
“ El constante impulso de la transformación digital hace
que el trabajo del CISO sea hoy absolutamente esencial
como persona que se encuentra en la intersección de la
innovación y la seguridad. Tenemos que asegurarnos de
que somos capaces de ayudar a guiar a la organización en
una trayectoria de crecimiento más inteligente manteniendo
conversaciones sobre seguridad al principio del proceso
de desarrollo y adquisición. Las pruebas continuas y
diferenciadas crearán sistemas y procesos mejores y más
seguros, y garantizarán que las organizaciones no pierdan la
confianza que tanto les ha costado ganar en el mercado.»
J A S O N L E W KO W I C Z
DIRECTOR GLOBAL DE SEGURIDAD DE LA INFORMACIÓN (CISO)
COGNIZANT
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 15TENDENCIAS DEL SECTOR
INDUSTRY TRENDS
En general, Synack ha visto cómo los CISO han estado a la altura del desafío durante los
últimos 16 meses y han navegado por un territorio inexplorado, centrándose en permitir
las operaciones empresariales y reduciendo el riesgo de ataques maliciosos. Al analizar
la evolución de las calificaciones de la ARS a lo largo de 2020, las puntuaciones se han
recuperado desde el comienzo de la pandemia en todos los sectores, y muchos sectores
empresariales han avanzado hacia una mayor resistencia al ataque que en los informes
anteriores de 2021.
F I G U RA 1 . C A L I F I C AC I Ó N M E D I A E N L A AS R D E L A I N D U ST R I A D U RA N T E COV I D - 19 :
MARZO 2020-ABRIL 2021
Marzo de 2020 Julio de 2020 Abril de 2021
70
68
64
60 62 62
61
58 57 58
56 57 57 55
54
50 52
51 51 52 52
49 49 49 50 49
48
47 45
40 41
30
20
10
0
Gobierno Sanidad Servicios Tecnología Comercio Venta al por Consultoría/ Fabricación/ SLED
financieros electrónico menor Servicios Infraestructura
empresariales crítica
y de TI
FIGURA 2. CALIFICACIÓN MEDIA EN LA ARS DE CADA SECTOR POR AÑOS
(PUBLICADA EN ANTERIORES INFORMES DE CONFIANZA)
Sector Trust Report 20191 Trust Report 20202 Trust Report 20213
Gobierno 47 61 64
Sanidad 60 56 61
Servicios financieros 57 59 58
Tecnología 46 55 57
Comercio electrónico 48 47 57
Venta al por menor 45 46 55
SLED 46 50 49
Consultoría/Servicios empresariales y de TI 53 48 52
Fabricación/Infraestructura crítica 70 45 50
1. La calificación ARS se basa en los datos del Trust Report: 2019. Datos hasta enero de 2019.
2. La calificación ARS se basa en los datos del Trust Report: 2020. Datos hasta julio de 2020.
3. La calificación ARS se basa en los datos del Trust Report: 2021. Datos hasta abril de 2021.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 17INDUSTRY TRENDS
Gobierno—fuerte GOBIERNO
El sector gubernamental sigue progresando y
+3
actualmente está a la cabeza de los demás sectores
con la mayor calificación ARS y los tiempos de
solución más rápidos. Aunque el CVSS del sector
es ligeramente superior a la media, los organismos
públicos siguen dando prioridad a la corrección
2020 2021
de las vulnerabilidades con rapidez para evitar su
61 64
explotación, con un tiempo medio de corrección
de 32 días (Figura 3). Es importante probar los
activos con regularidad y de forma continua, pero
hay que dar prioridad a las pruebas de todos los
activos, incluidas las API y los activos de terceros.
El ataque informático sufrido por SolarWinds afectó
E S T U D I O D E C A S O D E D A R PA
al menos a nueve agencias federales y demostró la
necesidad de garantizar que todos los componentes Las agencias del gobierno federal, como,
de la cadena de suministro digital sean de confianza. Si por ejemplo, la Agencia de Proyectos de
bien la calificación ARS demuestra la resistencia a los Investigación Avanzada de Defensa (DARPA),
ataques, la puntuación no refleja las vulnerabilidades están llevando al límite las pruebas. DARPA
no declaradas y no refleja el sector gubernamental en utilizó Synack para impulsar las pruebas de
general, sino solo{f1/}los activos que se han probado. seguridad en una fase más temprana del
Estas pruebas no incluyeron el parche de actualización ciclo de desarrollo, con el fin de pensar en
del proveedor relacionado con SolarWinds. cómo incorporar la seguridad por diseño a
los futuros sistemas de hardware. Durante
los tres meses que duró el programa, el
equipo rojo de Synack probó más de
980 procesadores de integración de la
seguridad del sistema a través del hardware
y el firmware (SSITH) y se descubrieron
10 vulnerabilidades válidas (calificadas
como altas y críticas según las normas del
Sistema de Puntuación de Vulnerabilidad
Común 3.0) en todas las implementaciones
de la arquitectura segura. En todas las
agencias se está hablando de integrar
las pruebas en una fase más temprana
del ciclo de vida de la adquisición, y
DARPA está liderando el camino.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 18INDUSTRY TRENDS
Sanidad—resistente H E A LT H C A R E
El sector de la sanidad experimentó un trastorno
+5
operativo, con picos regulares en el tráfico de
los centros de llamadas y en el tráfico de los
sitios web. Los ciberataques a las instalaciones
sanitarias no disminuyeron durante la pandemia, y
muchas organizaciones aumentaron la cadencia 2020 2021
de las pruebas para reducir su superficie de 56 61
ataque. Como resultado, las capacidades de
salud digital y los equipos de seguridad se
han convertido en socios más estratégicos. CVSS, un 7,2 (Figura 3). El personal de TI, por ejemplo,
tuvo que hacer frente al aumento de los servicios
Al igual que otros sectores, el sector de la sanidad de telesalud y al traslado de empleados no clínicos
también ha experimentado una aceleración de la a entornos de trabajo en casa, lo que aumentó la
transformación digital. Antes de la pandemia, la superficie de ataque. Muchos socios del sector
mayoría de los sistemas de salud tenían objetivos sanitario aceptaron el reto mejorando rápidamente
para llevar a cabo iniciativas como la telesalud, la seguridad de los sitios web de COVID o probando
implementar aplicaciones que apoyan la atención el software de los nuevos productos y manteniendo
basada en el valor, aumentar la integración entre su proceso de corrección para minimizar el riesgo.
los entornos de atención y mejorar la experiencia El sector demostró que podía moverse con rapidez
del paciente a través de la implementación de una y agilidad sin comprometer la seguridad. De hecho,
«puerta digital». El plazo para llevar a cabo estas puede ser el ejemplo de la transformación digital y
iniciativas se redujo considerablemente. El sector demuestra que un cambio rápido a la izquierda no solo
sanitario obtuvo la mayor puntuación promedia de es eficiente, sino que también puede ser más seguro.
Servicios financieros— SERVICIOS FINANCIEROS
en peligro
-1
El sector de los servicios financieros ha sido
históricamente uno de los principales objetivos de
los ciberdelincuentes. Al principio de la pandemia, el
sector sufrió una caída de 6 puntos, desde una ARS
de 62 a principios de 2020 (Figura 1), pero empezó 2020 2021
a recuperarse en 2021. El cambio a la banca y las 59 58
operaciones virtuales generalizadas probablemente
afectó a su superficie de ataque, pero los esfuerzos
por cerrar rápidamente las vulnerabilidades y mantener tenido que mirar más allá de su enfoque tradicional
un enfoque continuo de las pruebas ayudaron al para encontrar estrategias que les ayuden a impulsar
sector a minimizar el impacto en la calificación la seguridad en toda su organización. El sector
ARS. El sector de los servicios financieros, que es sigue siendo líder en seguridad, con la tercera
un objetivo frecuente de los ciberdelincuentes, ha puntuación más alta de la ARS en abril de 2021.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 19INDUSTRY TRENDS
El comercio electrónico, ágil COMERCIO ELECTRÓNICO
en la cresta de la ola
Tanto el comercio electrónico como el sector
minorista han aumentado drásticamente su
calificación ARS desde julio de 2020. Estos
sectores se vieron sometidos a una gran presión
+10
para afrontar cambios masivos en sus modelos 2020 2021
operativos. Las empresas que han tenido éxito no 47 57
solo han conseguido adaptarse, sino que también
han salido airosas con respecto a sus competidores
al generar una mayor confianza en sus clientes.
Los responsables de seguridad del comercio
electrónico tienen la oportunidad de recalibrar las
inversiones en tecnología y acelerar los planes de DOMINO’S PIZZA
transformación digital existentes con la vista puesta en
la seguridad. Aunque el sector ha pasado de ser uno de Domino's ha sido un líder del sector, ya que
los sectores menos seguros a obtener una media sólida, ha servido como caso de estudio del sector,
los atacantes siguen necesitando solo 16 horas para sobre todo en los espacios de entrega y
encontrar una vulnerabilidad, el segundo tiempo más digital, la mitad de su plantilla en la sede
bajo (Figura 4). De cara a 2021, el desplazamiento de se centra en el software y la analítica. La
la seguridad a la izquierda será una parte importante organización se transformó con éxito,
para garantizar que los planes de transformación pasando de ser una empresa de reparto
acelerados se traduzcan en lanzamientos seguros. Y de pizzas a una empresa de tecnología y,
para ello, los CISO tendrán que generar confianza como resultado, experimentó un crecimiento
no solo con sus clientes, sino también con sus significativo. Sus ingresos superaron los
desarrolladores. Las organizaciones de comercio 4000 millones de dólares en 2020. Domino's
electrónico pueden utilizar soluciones de pruebas emplea pruebas de seguridad colaborativas
de seguridad o servicios de seguridad colaborativos porque necesita una solución que refuerce
para generar confianza y acelerar el desarrollo. sus activos para protegeros frente al
tiempo de inactividad, que pueda integrarse
fácilmente en el SDLC y que permita medir
y comparar el rendimiento. Las pruebas de
seguridad colaborativas han ayudado a su
equipo de seguridad a permitir un rápido
crecimiento del negocio y la transformación
digital, ya que obtienen un 250 % más de
actividad y rigor en las pruebas que en
pruebas de penetración tradicionales.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 20INDUSTRY TRENDS
Tecnología: priorizar la TECNOLOGÍA
seguridad
+2
El sector tecnológico sigue mejorando su puntuación
de seguridad, ya que ha aumentado su ARS en 2
puntos para empezar el año 2021 empatado con las
empresas de comercio electrónico. El sector de la
tecnología tiene las puntuaciones medias de gravedad 2020 2021
más bajas, en comparación con otros sectores, y 55 57
su tiempo de remediación está a la par con otros
sectores (Figura 3). Las empresas tecnológicas
también adoptaron tempranamente métodos de tecnológica y su equipo. Las métricas como la ARS
desarrollo ágiles y se centraron en la seguridad en y las plataformas bajo demanda que ofrecen a los
las primeras fases del proceso, lo que ha dado lugar equipos puntos de datos procesables ayudan a los
a activos reforzados y a que las vulnerabilidades equipos de seguridad a medir los cambios en su
sean más difíciles de encontrar para los atacantes. capacidad de respuesta ante las vulnerabilidades
y las infracciones, lo que les proporciona la
La velocidad es un componente importante información que necesitan para seguir protegiendo
que subyace al éxito de un líder de seguridad sus organizaciones a la velocidad del desarrollo.
Venta al por menor— V E N TA A L P O R M E N O R
rápida respuesta
Junto con el comercio electrónico, el comercio
minorista ha aumentado significativamente su
calificación en la ARS desde julio de 2020, con un salto
de 9 puntos en la ARS del sector, que actualmente se
+9
sitúa en 55. Este aumento sitúa al sector minorista 2020 2021
en la mitad del pelotón en cuanto a seguridad, 46 55
frente al penúltimo lugar que ocupaba en 2020.
Según los datos del U.S. Retail Index de IBM, la Las empresas minoristas deben seguir integrando
pandemia ha acelerado en unos cinco años el paso de la seguridad en el proceso de desarrollo para que
las tiendas físicas a las compras digitales. El cambio ha los desarrolladores puedan lanzar aplicaciones
ofrecido al sector grandes oportunidades: El porcentaje y actualizaciones de forma eficiente. Los
de interacciones digitales con los clientes alcanzó responsables de la seguridad deben aprovechar
el 60 % y se espera que siga aumentando. Algunos las herramientas de pruebas automatizadas para
minoristas están dando prioridad a las inversiones obtener visibilidad de la gravedad de los hallazgos
en seguridad de las plataformas de pago digital y hacer un seguimiento del tiempo de cierre de las
para satisfacer las necesidades cambiantes de sus vulnerabilidades. Estas herramientas de comprobación
clientes. Además, según PricewaterhouseCoopers deben integrarse en los flujos de trabajo existentes
muchos equipos de ciberseguridad y privacidad se para garantizar que la seguridad se incorpore
encargan de crear una visión única y completa del al ciclo de vida del desarrollo y que los fallos se
consumidor en todos los canales de interacción. detecten antes de la publicación del software.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 21INDUSTRY TRENDS
Fabricación e FA B R I C AC I Ó N / C I
infraestructuras críticas:
afrontar los nuevos desafíos
El sector de la fabricación y las infraestructuras
críticas se ha enfrentado a un impacto significativo en
+5
las operaciones empresariales debido a la pandemia 2020 2021
y a los ataques maliciosos, pero la peor caída de 45 50
la ARS se produjo el año anterior, cuando la ARS
del sector cayó 25 puntos. En mayo, por ejemplo, el
sector sufrió el peor ataque de los últimos tiempos
con el ransomware que comprometió a Colonial
Pipeline, que dejó fuera de servicio la red de transporte
de petróleo y gas durante más de una semana.
SECTOR DE LA ENERGÍA
El sector se recupera poco a poco de su caída en la
calificación ARS, ganando 5 puntos en 2021 gracias Una empresa de la lista Fortune 500 del
al fortalecimiento de los activos y al aumento de la sector energético pudo habilitar el negocio
eficacia de la remediación. Aun así, la calificación y reducir el riesgo mediante pruebas
ARS del sector sigue estando por debajo de la de seguridad eficientes y efectivas con
media. Con los recientes ataques informáticos a los datos necesarios para poder cerrar
infraestructuras críticas como el Colonial Pipeline, el las vulnerabilidades durante la semana
sector necesita seguir protegiendo su gran superficie siguiente a que se hayan identificado. El
de ataque con soluciones que proporcionen una cliente necesitaba una prueba que pudiera
cobertura continua y permitan a las organizaciones ponerse en marcha rápidamente, para ofrecer
descubrir las vulnerabilidades explotables antes que garantías sobre los activos y evaluar el
los atacantes. Mantener parcheados y actualizados riesgo que conllevaban antes de liberarlos.
los servidores y la infraestructura de red orientada Gracias a su asociación con Synack, todo
a Internet puede ayudar a mitigar el riesgo. el proceso, lo cual incluye la corrección y la
repetición de las pruebas, se ejecutó en una
fracción del tiempo que antes se tardaba
con los probadores tradicionales. El sector
energético protege las infraestructuras
críticas y las cadenas de suministro que
mantienen operativas a organizaciones de
todo el mundo. Con asociaciones como
esta, pueden reducir el riesgo y agilizar
todo el proceso de pruebas y correcciones
a escala de sus organizaciones globales.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 22INDUSTRY TRENDS
Administración estatal, local SLED
y de la educación (SLED):
margen de mejora
La media del sector de la Administración estatal, local
y de la educación (SLED) se ha mantenido estable a
-1
lo largo del último año; sin embargo, a medida que 2020 2021
otras industrias han aumentado su puntuación, la 50 49
calificación del sector se ha situado por debajo de la
media. Si bien las organizaciones que componen este
sector público han avanzado en la disminución de
sus días para cerrar las vulnerabilidades, todavía hay
una oportunidad para ampliar las pruebas en toda su E S TA D O D E C O L O R A D O
superficie de ataque. Al aprovechar a los hackers éticos,
Los destacados que lideran la carga: El
las organizaciones de SLED escalan sus pruebas
Estado de Colorado forma parte de un
para garantizar que los mejores investigadores de
movimiento más amplio hacia los métodos de
seguridad del mundo estén probando sus sistemas
pruebas de seguridad colaborativas, como la
para que puedan descubrir las vulnerabilidades
divulgación de vulnerabilidades y las pruebas
más impactantes y cerrarlas con rapidez.
de penetración colaborativas para asegurar
las elecciones y otras infraestructuras
Consultoría y servicios de críticas. En 2020, Colorado lanzó un nuevo
TI—Impulsar la cultura de la programa para ayudar a proteger los
sistemas electorales de Colorado como
seguridad parte de las elecciones presidenciales de
La puntuación del sector de consultoría y servicios de 2020. Colorado es el primer estado del
TI aumentó a 52, ya que sus empresas miembros han país que realiza una prueba piloto, y luego
escalado sus pruebas y han implementado procesos exige auditorías de limitación de riesgos
para solucionar las vulnerabilidades con mayor rapidez. a nivel estatal. Colorado es también el
El tiempo de remediación del sector se redujo en un primer estado que apoya públicamente la
32 % desde julio de 2020. La realización de estas divulgación de vulnerabilidades y las pruebas
grandes mejoras suele requerir la comunicación y la de penetración colaborativas en los sistemas
cooperación interfuncionales, así como la adopción electorales, y uno de los primeros estados
de una cultura que dé prioridad a la seguridad. en participar activamente en DEFCON.
Las organizaciones de consultoría y servicios de TI
suelen impulsar el cambio de cultura con sus clientes.
Lo están demostrando cuando se trata de adoptar C O N S U LT O R Í A / T I
un flujo de trabajo más seguro dentro de sus propias
+4
organizaciones y de adoptar herramientas para apoyar la
transformación. Las pruebas de seguridad proporcionan
a las organizaciones los datos necesarios para reforzar
su cultura de seguridad, lo cual hace posible una
gestión más detallada de las vulnerabilidades reales y 2020 2021
produciendo métricas que pueden proporcionar a los 48 52
líderes empresariales indicadores clave de rendimiento.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 23INDUSTRY TRENDS
A P R O V E C H A R A L M Á X I M O L A AT TA C K E R
R E S I S TA N C E S C O R E
La Attacker Resistance Score (ARS) de Synack es SYNACK RED TEAM
una medida del grado de protección de sus activos
El Synack Red Team (SRT) está formado
frente a los ataques, basada en lo más parecido
por los investigadores de seguridad ética
a un ataque real y coordinada por un equipo de
con más talento de todo el mundo.
investigadores de seguridad de confianza.
El SRT es un grupo diverso de expertos en
La Attacker Resistance Score representa una
seguridad altamente cualificados, que incluye
trayectoria. Las empresas que alcanzan una
a los mejores investigadores del mundo
calificación ARS de 100 no han «terminado» con la
académico, de la administración y del sector
seguridad. Las organizaciones más seguras, como
privado. El SRT cuenta con la representación
las que dan prioridad a las pruebas de seguridad
de más de 80 países diferentes de todo el
y analizan de forma proactiva los nuevos activos
mundo y con cientos de años de experiencia
y aplicaciones digitales, utilizan la calificación
combinada en materia de pruebas. Muchos
ARS para cuantificar su postura de seguridad en
de los investigadores de Synack son los
diferentes momentos para realizar un seguimiento
principales productores de los programas de
de su progreso, priorizar los activos y evaluar su
divulgación de vulnerabilidades de la industria,
riesgo. Es normal que las puntuaciones fluctúen,
y hablan regularmente en eventos de la
especialmente cuando se actualizan los activos,
industria como DefCon, AppSec y Black Hat.
como cuando se lanza una nueva versión de una
aplicación. De hecho, una puntuación baja da a las
organizaciones la oportunidad de entender sus áreas
más débiles y cerrar esas vulnerabilidades antes de
que un atacante malicioso pueda encontrarlas.
He aquí las recomendaciones para mejorar la calificación ARS:
Aumentar el coste del atacante
01 Involucre a sus equipos de desarrollo e infraestructura para reducir la
frecuencia de las vulnerabilidades y hacer que estas sean más difíciles
de encontrar. Cuanto más tiempo e intentos de ataque se requieran para
encontrar una vulnerabilidad, mayor será el impacto positivo en su ARS.
Reducir la gravedad de los hallazgos
02 Trabaje con los desarrolladores para integrar la seguridad en el ciclo
de vida del desarrollo y realice pruebas tempranas para reducir el
número de vulnerabilidades en la producción. Cuantas menos
vulnerabilidades se encuentren, mayor será la calificación ARS.
Resolver rápidamente las vulnerabilidades
03 Cuanto más corto sea el tiempo de remediación, más
rápido empezará a recuperarse su puntuación.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 24TENDENCIAS EN LA CALIFICACIÓN DE LA ATTACKER RESISTANCE SCORE
T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E
FIGURE 3. RESUMEN DEL SECTOR
Tiempo medio de
CVSS medio Incidentes/brechas
remediación (días)
Gobierno 1 6.9 32 3,236/885
Sanidad 7.2 56 655/472
Servicios financieros 6.7 54 721/467
Tecnología 2 6.4 54 2,935/381
Comercio electrónico 6.6 48 N/A
Venta al por menor 6.8 52 725/165
SLED3 6.8 62 1,332/344
Consultoría/Servicios
6.8 56 194/67
empresariales y de TI 4
Fabricación/
6.8 53 633/290
Infraestructura crítica 5
1. Sector público en el informe DBIR de 2021 de Verizon.
2. Información del sector a partir del informe DBIR de 2021 de Verizon.
3. El sector de la educación a partir del informe DBIR de 2021 de Verizon.
4. Sector de otros servicios del informe DBIR de 2021 de Verizon.
5. Categoría de fabricación y servicios públicos del informe DBIR de 2021 de Verizon.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 26T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E
Attacker Resistance Score rating trends
C O S T E D E L ATA C A N T E
FIGURE 4. ES HORA DE
El punto de partida de la calificación Attacker Resistance ENCONTRAR UNA VULNERABILIDAD
Score cuantifica el esfuerzo que se requiere para
intentar penetrar en la superficie de ataque del activo Media (horas
y descubrir vulnerabilidades utilizando datos de tráfico Sector para encontrar
de pruebas de penetración específicos de la evaluación vulnerabilidades)
sobre toda la actividad de pruebas del investigador
para comprender su estructura subyacente. Los datos Gobierno 20
proceden de las pruebas de penetración de Synack
y de los compromisos de seguridad colaborativos.2
Sanidad 19
Si bien el cálculo del coste de los atacantes es más
complejo, ya que incluye la cuantificación del trabajo
y el poder de los atacantes, el tiempo para encontrar Servicios financieros 18
una vulnerabilidad se utiliza en este informe como un
indicador para medir las tendencias y los cambios
Tecnología 24
en el coste de los atacantes de la industria. Un mayor
tiempo para encontrar una vulnerabilidad significa que
la superficie de ataque puede estar más fortalecida Comercio electrónico 18
y ser más resistente a los ataques maliciosos, lo
que equivale a una mayor calificación ARS.
Venta al por menor 17
Aumentar el esfuerzo y el tiempo que los atacantes
necesitan para encontrar vulnerabilidades
SLED 15
explotables es una forma fundamental de disuadir
a los actores maliciosos. La cuantificación del
esfuerzo de los atacantes forma parte del cálculo Consultoría/Servicios
18
empresariales y de TI
de la calificación ARS y de la forma en que Synack
mide la resistencia de los atacantes (Figura 4). Fabricación/
18
Infraestructura crítica
A medida que las organizaciones endurecen sus
superficies de ataque y cierran las vulnerabilidades
explotables, los atacantes maliciosos tendrán que Media 19
dedicar más esfuerzo y mayores recursos para
encontrar vulnerabilidades explotables. Probar los
activos en una cadencia continua utilizando un cuerpo
diverso de investigadores de seguridad ayuda a las organizaciones a reforzar los activos y a aumentar el
empresas a adelantarse a los atacantes maliciosos. coste de los ataques, ya que los equipos de seguridad
Además, la incorporación de la seguridad en una fase e ingeniería encuentran y corrigen las vulnerabilidades
más temprana del proceso de desarrollo ayuda a las en una fase más temprana del desarrollo.
2 Attacker time is used as a proxy to simplify the calculation used in the ARS rating. For additional details on attacker cost calculation refer to the appendix.
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 27T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E
Gravedad de los resultados
Aunque las vulnerabilidades de la lógica empresarial constituyen el siete por ciento de
las vulnerabilidades encontradas, a medida que los clientes prueban sus activos durante
más tiempo, la cantidad de vulnerabilidades de la lógica empresarial encontradas
aumentó un 37 % (Figura 5). A medida que los clientes realizan pruebas durante largos
periodos de tiempo y los activos se endurecen, las organizaciones pueden centrar
sus esfuerzos en encontrar y solucionar vulnerabilidades más complicadas y graves.
Las principales categorías de vulneraciones de los últimos años se han mantenido
constantes: Autorización/permiso, divulgación de información y Cross Site Scripting.
F I G U R E 5 . D I S T R I B U C I Ó N D E L A V U L N E R A B I L I D A D P O R C AT E G O R Í A
Tipo de vulnerabilidad en % del total 2021* 2020 2019
Autenticación/Sesión 5% 6% 6%
Authorization/Permission 25% 26% 22%
Fuerza bruta 2% 2% 2%
Inyección de contenidos 3% 3% 3%
CriptografíaT E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E
El CVSS promedio de las vulnerabilidades se mantuvo
bastante estable desde 2019 hasta el primer trimestre FIGURE 6. MEDIA DE CVSS POR AÑO
de 2021 (Figura 6). El CVSS de una vulnerabilidad
ayuda a las organizaciones a priorizar las respuestas
y los recursos según la amenaza en una escala Año Media CVSS
de 0 a 10. La gravedad de los descubrimientos
es otro componente del cálculo de la calificación 2019 6.7
ARS que cuantifica la gravedad y la cantidad de
vulnerabilidades descubiertas contra sus activos 2020 6.6
objetivo. Esto es solo un componente de la ARS.
Centrarse solo en las vulnerabilidades más graves
2021* 6.6
puede dejar oportunidades para que los atacantes
maliciosos utilicen vulnerabilidades menos graves con
* 2021 se basa en datos hasta el primer trimestre de 2021
las que encontrar formas de entrar en sus activos.
FIGURE 7. CVSS PROMEDIO POR TIPO DE ACTIVO
8.0
7.7
6.0
6.3
5.5
4.0
2.0
0.0
Host Web Móvil
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 29T E N D E N C I A S E N L A C A L I F I C A C I Ó N D E L A AT TA C K E R R E S I S TA N C E S C O R E
Más de un tercio (el 37 %) de las vulnerabilidades y la verificación de parches son fundamentales
detectadas por el equipo rojo de Synack fueron de para reducir las vulnerabilidades y su gravedad.
gravedad alta o crítica (Figura 8). A medida que las
Las vulnerabilidades de autorización/permiso
organizaciones amplían sus pruebas de seguridad en
aceptadas aumentaron un 18 % de 2020 a 2019 y el XSS
diferentes activos, priorizar los esfuerzos de corrección
ha aumentado un 17 % en el primer trimestre de 2021.
por nivel de gravedad puede ser una estrategia útil
Las vulnerabilidades críticas aceptadas disminuyeron
para gestionar la carga de trabajo de su organización.
ligeramente en 2020, lo que permitió un cambio de
Los activos de host tienen la puntuación media enfoque hacia hallazgos menos graves. Esto implica la
más alta del Common Vulnerability Scoring System adopción de mejores mecanismos de detección y una
(CVSS) en comparación con otros tipos de activos mayor comprensión de la mentalidad de los atacantes
(7,7). La divulgación de información y la autorización/ y el encadenamiento de vulnerabilidades Basándose en
permisos son las categorías de vulnerabilidad estos datos, Synack prevé un aumento continuo de las
más populares encontradas en los activos del vulnerabilidades y la gravedad en los próximos años, ya
host (Figura 5). Los malos actores tienen como que las organizaciones siguen siendo más proactivas
objetivo determinados entornos en busca de en sus pruebas y escalan en todos sus activos.
vulnerabilidades, por lo que las pruebas, la corrección
FIGURE 8: DISTRIBUCIÓN DE LAS VULNERABILIDADES POR
N I V E L D E G R AV E D A D
5%
medio
16%
alto
crítico
57%
bajo
21%
2021 SYNACK TRUST REPORT: L A ECONOMÍA SE BASA EN L A CONFIANZA • SYNACK.COM 30También puede leer
