¿Están preparadas las organizaciones para hacer frente al rápido aumento de las vulnerabilidades?
Imagen: Zdzisław Beksiński
Conforme avanza la tecnología, también lo hace la necesidad de protegerla. Informes han mostrado un incremento preocupante de las vulnerabilidades en fechas recientes.
Y ya que las vulnerabilidades aumentan, de forma simultánea también lo hacen las amenazas que buscan impactarlas, con atacantes y ataques cada vez más sofisticados y con criminales respaldados por pandillas delictivas o gobiernos que rápidamente se van transformando en amenazas persistentes avanzadas (APT).
Al mismo tiempo las organizaciones siguen enfrentando desafíos tales como la escasez de talento, las limitaciones presupuestarias y el cumplimiento de nuevas leyes y regulaciones, lo cual hace que se mantengan expuestas y vulnerables a este tipo de ataques.
Y esto se complica con los enfoques reactivos tradicionales, en donde se espera a que las vulnerabilidades sean reportadas por los fabricantes o analistas para luego, de forma urgente, escanear, actualizar e instalar parches de seguridad en cada activo, lo cual es insuficiente si tomamos en cuenta que hay demasiadas vulnerabilidades, lleva demasiado tiempo encontrarlas, mitigarlas y algunas de éstas son imparables.
¿Cuál es la situación en este momento?
De acuerdo con informes recientes, la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) — agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos — , agregó 25,096 nuevas vulnerabilidades en 2022. Ese es el mayor número de vulnerabilidades jamás publicadas en un solo año, y es un salto del 25% de las 20,196 nuevas vulnerabilidades reportadas en 2021. En otras palabras, las vulnerabilidades no solo están aumentando, sino que además lo están haciendo con una velocidad nunca antes vista.
Otro punto a señalar es que, al cierre de 2022, el número total de vulnerabilidades catalogadas en el NVD llegó a 192,051, y el recuento actual — tomando en cuenta, además, que todavía falta un semestre por delante en 2023 — está por superar las 200,000 vulnerabilidades únicas (también conocidas como vulnerabilidades y exposiciones críticas, CVE).
Además, reportes de analistas también han encontrado que el 80% de las vulnerabilidades reportadas en 2022 fueron de severidad media o alta. Solo el 16% se consideró crítico, pero esto no es una buena noticia ya que la gravedad no es igual al riesgo, pues depende de una variedad de factores.
Muchos ciberatacantes apuntan específicamente a debilidades menos severas, explotando estas vulnerabilidades para ingresar a un sistema, moverse lateralmente e intensificar y extender los ataques.
¿Por qué aumentan las vulnerabilidades?
El aumento de nuevas vulnerabilidades se deriva de una serie de factores. En el lado positivo, los proveedores de software y hardware, obligados por regulaciones y políticas más estrictas, pueden estar mejorando en el reconocimiento y divulgación de errores de seguridad existentes en sus productos.
Por otro lado, se están introduciendo nuevos errores en los productos a un ritmo más rápido, ya que el rápido cambio tecnológico conduce a más errores en el desarrollo de productos.
La transformación digital y la migración a la nube — impulsadas en parte por la pandemia de COVID-19 y el cambio al trabajo remoto — , apresuraron los cronogramas de desarrollo, provocaron la validación inadecuada y, además, una mayor complejidad del software, crearon más oportunidades de fallos.
Al mismo tiempo, las crecientes interdependencias e interconexiones entre los sistemas están abriendo nuevos puntos de entrada y habilitan nuevos modos de ataque. Una vez que la tecnología y los vectores evolucionan, las vulnerabilidades están surgiendo en áreas que antes eran aparentemente seguras.
Cabe señalar que estas vulnerabilidades pueden persistir en organizaciones durante años, para luego madurar y ser explotadas por un arsenal cada vez mayor de malware. En la actualidad, las grandes empresas pueden tener cientos de miles o incluso millones de vulnerabilidades totales, repartidas en superficies de ataque que abarcan entornos de tecnología de información y tecnología operativa, en sistemas locales, públicos y privados, así como servicios en la nube y puntos finales remotos. Todo esto ha dado como resultado que los enfoques tradicionales y generales para la gestión de vulnerabilidades, también conocido como <escanear y parchear todo>, sea cada vez más ineficiente.
¿Qué podemos hacer en este momento?
No hay una solución simple al aumento de las vulnerabilidades, pero lo cierto, es que las organizaciones deben tomar algunas medidas para poder resolver este tema, lo más rápida y efectivamente posible.
Algunas recomendaciones son:
- Consolide sus funciones de ciberseguridad.
- Administre las vulnerabilidades, desafíos de cumplimiento, riesgos de red y configuración de políticas.
- Comprenda toda su superficie de ataque, incluidos activos locales y en la nube, entornos de tecnología de la información y tecnología operativa, redes híbridas, dispositivos y aplicaciones.
- Descubra y detecte toda la gama de exposiciones.
- Haga una evaluación de riesgos y asigne prioridades.
- Elija la remediación adecuada.
- Haga equipo con los expertos. La ciberseguridad es un juego de equipo, que requiere una amplia gama de competencias y un alto grado de coordinación y cooperación entre los diversos jugadores.
Para más información, visite: https://www.silikn.com/