Las superficies de ataque para las empresas crecen cada día y los actores de amenazas están constantemente probando los sistemas para encontrar vulnerabilidades que puedan explotar. En 2022, vimos una cantidad récord de CVE con un recuento final de más de 24 000.
No es necesario que conozca las 24 000, pero sí es necesario saber qué vulnerabilidades pueden provocar una infracción importante o tener efectos devastadores en su organización.
Como defensores de las empresas, es vital tener información crítica sobre los tipos de vulnerabilidades más impactantes que amenazan a las empresas en la actualidad.
Inversión y vulnerabilidades
Cada año, las empresas invierten en sistemas en la nube, canales de desarrollo continuo, dispositivos de borde, redes 5G y más. A medida que la infraestructura tecnológica de las empresas continúa expandiéndose, también lo hacen las superficies de ataque y el riesgo de vulnerabilidades y ataques de día cero.
Nos asociamos con Dark Reading para analizar las 10 vulnerabilidades emergentes más importantes y ayudar a las empresas a centrarse en las vulnerabilidades de mayor riesgo mediante la identificación de las amenazas principales y el aprovechamiento de la inteligencia sobre amenazas.
Descargue ahora “10 vulnerabilidades emergentes que toda empresa debería conocer” para obtener información imprescindible sobre las vulnerabilidades de mayor impacto que enfrentan las empresas en la actualidad.
El OWASP Top 10 es un documento de concientización estándar para desarrolladores y seguridad de aplicaciones web. Representa un amplio consenso sobre los riesgos de seguridad más críticos para las aplicaciones web.
Reconocido mundialmente por los desarrolladores como el primer paso hacia una codificación más segura.
Las empresas deberían adoptar este documento y comenzar el proceso de garantizar que sus aplicaciones web minimicen estos riesgos.
El uso del OWASP Top 10 es quizás el primer paso más eficaz para cambiar la cultura de desarrollo de software dentro de su organización hacia una que produzca código más seguro.
Los 10 principales riesgos de seguridad de las aplicaciones web
Hay tres categorías nuevas, cuatro categorías con cambios de nombre y alcance, y cierta consolidación en el Top 10 para 2021.
- A01:2021-El control de acceso interrumpido sube de la quinta posición; el 94 % de las aplicaciones se probaron para detectar algún tipo de control de acceso interrumpido. Las 34 enumeraciones de debilidades comunes (CWE) asignadas al control de acceso interrumpido tuvieron más incidencias en las aplicaciones que cualquier otra categoría.
- A02:2021-Las fallas criptográficas suben una posición y ocupan el puesto n.° 2, antes conocidas como exposición de datos confidenciales, que eran un síntoma general en lugar de una causa raíz. El enfoque renovado aquí se centra en las fallas relacionadas con la criptografía que a menudo conducen a la exposición de datos confidenciales o al compromiso del sistema.
- A03:2021-Inyección desciende al tercer puesto. El 94 % de las aplicaciones se probaron para detectar algún tipo de inyección, y los 33 CWE incluidos en esta categoría tienen la segunda mayor cantidad de ocurrencias en las aplicaciones. Cross-site Scripting ahora forma parte de esta categoría en esta edición.
- A04:2021-Insecure Design es una nueva categoría para 2021, que se centra en los riesgos relacionados con los fallos de diseño. Si realmente queremos “ir hacia la izquierda” como industria, es necesario un mayor uso de modelos de amenazas, principios y patrones de diseño seguros y arquitecturas de referencia.
- A05:2021-La configuración incorrecta de seguridad sube del puesto n.° 6 en la edición anterior; el 90 % de las aplicaciones se sometieron a pruebas para detectar algún tipo de configuración incorrecta. Con más cambios en el software altamente configurable, no es sorprendente ver que esta categoría sube. La categoría anterior de entidades externas XML (XXE) ahora forma parte de esta categoría.
- A06:2021-Componentes vulnerables y obsoletos se titulaba anteriormente Uso de componentes con vulnerabilidades conocidas y ocupa el puesto n.° 2 en la encuesta de la comunidad de los 10 principales, pero también tenía datos suficientes para llegar al puesto n.° 10 a través del análisis de datos. Esta categoría asciende desde el puesto n.° 9 en 2017 y es un problema conocido cuyo riesgo nos cuesta probar y evaluar. Es la única categoría que no tiene ninguna vulnerabilidad y exposición común (CVE) asignada a las CWE incluidas, por lo que se tienen en cuenta pesos de impacto y explotación predeterminados de 5.0 en sus puntajes.
- A07:2021-Errores de identificación y autenticación : anteriormente, Autenticación interrumpida, está bajando del segundo puesto y ahora incluye errores de identificación y autenticación más relacionados con fallas de identificación. Esta categoría sigue siendo parte integral del Top 10, pero la mayor disponibilidad de marcos estandarizados parece estar ayudando.
- A08:2021-Fallas de integridad de datos y software es una nueva categoría para 2021, que se centra en hacer suposiciones relacionadas con actualizaciones de software, datos críticos y procesos de CI/CD sin verificar la integridad. Uno de los impactos con mayor ponderación de los datos de Vulnerabilidades y exposiciones comunes/Sistema de puntuación de vulnerabilidades comunes (CVE/CVSS) asignados a las 10 CWE de esta categoría. La deserialización insegura de 2017 ahora forma parte de esta categoría más amplia.
- A09:2021-Errores de registro y monitoreo de seguridad Anteriormente, Registro y monitoreo insuficientes se agregó a partir de la encuesta de la industria (#3), lo que sube del puesto anterior (#10). Esta categoría se amplió para incluir más tipos de fallas, es difícil de probar y no está bien representada en los datos de CVE/CVSS. Sin embargo, las fallas en esta categoría pueden afectar directamente la visibilidad, las alertas de incidentes y el análisis forense.
- A10:2021- Se agregó la falsificación de solicitudes del lado del servidor de la encuesta de la comunidad de los 10 principales (n.° 1). Los datos muestran una tasa de incidencia relativamente baja con una cobertura de pruebas superior a la media, junto con calificaciones superiores a la media para el potencial de explotación e impacto. Esta categoría representa el escenario en el que los miembros de la comunidad de seguridad nos dicen que esto es importante, aunque no se ilustre en los datos en este momento.
La gestión de las vulnerabilidades del sistema es uno de los desafíos de seguridad más antiguos (y más frustrantes) que enfrentan los defensores empresariales.Cada software La aplicación y el dispositivo de hardware se envían con defectos intrínsecos. – fallas que, si son lo suficientemente críticas, los atacantes pueden explotar desde en cualquier lugar del mundo.
Es crucial que los defensores hagan un balance de qué áreas de la pila tecnológica son las más emergentes, y críticas que entonces deben gestionar.
Puede leer también: Inteligencia artificial y seguridad: los retos que se vienen.
Mitigar la amenaza de las vulnerabilidades es un desafío que sigue siendo una prioridad en la agenda de los equipos de seguridad empresarial.
El equipo de inteligencia de amenazas de Liberty Mutual está siempre al tanto.Esté atento a nuevas vulnerabilidades que se estén explotando activamente. Chris Blow, director de seguridad ofensiva de Liberty Mutual, describe cómo la compañía de seguros anima al equipo de inteligencia de amenazas a colaborar con otros grupos, como gestión de vulnerabilidades, seguridad operaciones, seguridad ofensiva y el equipo morado.
“No solo trabajamos con los informes de nuestro equipo de gestión de vulnerabilidades; estamos trabajando con esos evaluaciones, además de inteligencia sobre amenazas seleccionada para nuestra organización”, dice Blow. “Lo reducimos a la señal viniendo a través del ruido.
Nos fijamos en cosas que sólo afectan a las finanzas, la tecnología financiera o los seguros. Una vez que empieces a hacer
Después de eso, puede comenzar a limitarse a actores de amenazas específicos y a esos TTP [tácticas, amenazas y procedimientos].
eso te impactará. Y luego puedes mirar el más nuevo TTP y mitigarlos”.Los alborotadores actuales si bien el recuento final de los CVE de 2022 aún no está disponible, cada cuenta, es probable que la cifra supere los 24.000, un récord número.
De hecho, el número de vulnerabilidades de software descubiertas ha tenido una tendencia creciente cada año desde que la Universidad Carnegie Mellon comenzó a realizar un seguimiento de más de