Seguridad

2023 es otro año récord de brechas de seguridad

0 7 3 minutos de lectura
2021 es otro año récord de brechas de seguridad

El número de nuevas infracciones de seguridad registradas por NIST ha superado el total de 2023 por quinto año consecutivo.

security
Imagen: iStock/weerapatkiatdumrong

Parchar las vulnerabilidades de seguridad es un trabajo desafiante y aparentemente interminable para los profesionales de TI y seguridad. El trabajo se vuelve más difícil cada año a medida que aumenta el número de nuevas infracciones de seguridad.Residencia en Las últimas estadísticas de la base de datos de vulnerabilidad del Instituto Nacional de Estándares y Tecnologíael número de infracciones de seguridad alcanzó un máximo histórico por quinto año consecutivo.

Mirar: Estrategia de gestión de parches (República Tecnológica Premium)

A partir del 9 de diciembre de 2023, la cantidad de vulnerabilidades descubiertas en el código de producción para el año fue de 18 400. Desglosando las estadísticas de 2023 hasta el momento, el NIST ha registrado 2966 vulnerabilidades de bajo riesgo, 11 777 vulnerabilidades de riesgo medio y 3657 vulnerabilidades de alto riesgo.

En 2023, el número total de vulnerabilidades fue de 18.351. Alrededor de 2.766 se clasificaron como de bajo riesgo, 11.204 se clasificaron como de riesgo moderado y 4.381 se clasificaron como de alto riesgo. En los últimos cinco años, el número total de defectos registrados fue de 17 306 en 2023, 16 510 en 2023 y 14 645 en 2023, superando cada año al anterior.

nist vulnerability database
Imagen: NIST

¿Por qué está aumentando el número de vulnerabilidades?en un publicación de blog el miércolesPravin Madhani, CEO y cofundador del proveedor de seguridad K2 Cyber ​​​​Security, tiene algunas ideas.

Este año, dijo Madhani, la pandemia de coronavirus siguió empujando a muchas organizaciones a impulsar agresivamente la transformación digital y la adopción de la nube, lo que hizo posible poner sus aplicaciones en producción. Esto significa que es posible que el código de programación no haya pasado por tantos ciclos de prueba de control de calidad. También significa que muchos desarrolladores pueden aprovechar más código fuente abierto, heredado y de terceros, otro posible factor de riesgo para las infracciones de seguridad. En última instancia, las organizaciones pueden haber mejorado su codificación, pero se han retrasado en las pruebas, dijo Madhani.

LEER  Conozca el impacto de Snowden en TI... en 2 minutos

«Definitivamente coincide con lo que estamos viendo», dijo Casey Ellis, fundador y CTO de Bugcrowd. «Lo más simple es que la tecnología en sí se está acelerando y las vulnerabilidades son inherentes al desarrollo de software. Es un juego de azar, cuanto más software se produce, más vulnerabilidades. En términos de propagación, desde una perspectiva de descubrimiento, los problemas de menor impacto tienden a ser más fácil de presentar, más fácil de encontrar y, por lo tanto, informar con más frecuencia».

VER: Contraseña comprometida: por qué la cultura pop y las contraseñas no se pueden mezclar (PDF gratuito) (Tecnopedia)

Publicaciones relacionadas

Una tendencia importante es que la cantidad de vulnerabilidades se duplicó con creces entre 2023 y 2023. En 2023, el total fue de 6.447. En 2023, ese número se disparó a 14.645 y ha aumentado constantemente desde entonces. ¿Por qué hay tal aumento de un año a otro?

Antes de 2023, Internet era principalmente un negocio de consumo, dijo Tal Morgenstern, cofundador y director de productos de Vulcan Cyber. Pero a medida que más empresas B2B se conectan en línea, los atacantes han encontrado un nuevo objetivo lucrativo. Al mismo tiempo, las vulnerabilidades relacionadas con la web, como XSS, SQL injection, DOS y CSRF, han aumentado en comparación con años anteriores. En 2023, la cantidad de vulnerabilidades relacionadas con PHP y Google Chrome aumentó en 270 con respecto al año anterior, mientras que las vulnerabilidades de Apache se duplicaron con creces.

Un punto brillante en los últimos datos del NIST es el número relativamente bajo de vulnerabilidades de alto riesgo. Las 3.657 personas marcadas como de alto riesgo en 2023 presentan una tendencia a la baja con respecto a 2023 y años anteriores. Para explicar la disminución, Madhani dijo que los números más bajos podrían deberse a mejores prácticas de codificación por parte de los desarrolladores. Al adoptar una estrategia de «desplazamiento a la izquierda» (ejecutar pruebas al principio del ciclo de codificación), los desarrolladores lograron poner más énfasis en la seguridad.

Aún así, los resultados generales son preocupantes y apuntan a los desafíos que enfrentan las organizaciones cuando intentan rastrear todas las aplicaciones vulnerables y otros activos.

«Es casi imposible para una organización crear un inventario preciso de todos los activos de TI asociados con su empresa”, dijo Greg Fitzgerald, cofundador de Sevco Security. «La razón principal de esto es que el inventario de activos de TI de la mayoría de las empresas no reflejan toda su superficie de ataque. En la empresa moderna, la superficie de ataque se extiende más allá de la red para incluir la nube, los dispositivos personales, los trabajadores remotos y todo lo que se encuentra en las instalaciones. Hasta que las organizaciones puedan comenzar a trabajar a partir de un inventario completo y preciso de los activos de TI, las vulnerabilidades conservarán su valor para los piratas informáticos y presentarán un riesgo real para el negocio. «

LEER  Cómo los ataques de phishing continúan explotando COVID-19
0 7 3 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba