2021 marca otro año récord para las vulnerabilidades de seguridad

El número de nuevas fallas de seguridad registradas por NIST ya superó el total de 2020, el quinto año consecutivo en que se batieron récords.

Imagen: iStock / weerapatkiatdumrong

Reparar fallas de seguridad es una tarea desafiante y aparentemente interminable para los profesionales de TI y seguridad. Y esa tarea se vuelve aún más difícil cada año a medida que aumenta la cantidad de nuevas vulnerabilidades de seguridad. Según las últimas estadísticas del Instituto Nacional de Estándares y Base de Datos de Vulnerabilidad Tecnológica, el volumen de fallas de seguridad ha alcanzado un récord por quinto año consecutivo.

VER: Política de gestión de parches (TechRepublic Premium)

Al 9 de diciembre de 2021, la cantidad de vulnerabilidades encontradas en el código de producción para el año es de 18,400. Desglosando esa estadística para 2021 hasta ahora, el NIST registró 2.966 vulnerabilidades de bajo riesgo, 11.777 de riesgo medio y 3.657 de naturaleza de alto riesgo.

Para 2020, el número total de vulnerabilidades fue de 18,351. Unos 2766 se clasificaron como de bajo riesgo, 11.204 se clasificaron como de riesgo medio y 4.381 se clasificaron como de alto riesgo. Durante los últimos cinco años, cada año ha superado al anterior con 17.306 fallas totales registradas en 2019, 16.510 en 2018 y 14.645 en 2017.

Imagen: NIST

¿Por qué sigue aumentando el número de vulnerabilidades? En una publicación de blog publicada el miércoles, Pravin Madhani, CEO y cofundador del proveedor de seguridad K2 Cyber ​​Security ofreció algunas ideas.

Para este año, la pandemia de coronavirus siguió impulsando a muchas organizaciones a impulsar agresivamente la transformación digital y la adopción de la nube, lo que podría acelerar la producción de sus aplicaciones, dijo Madhani. Eso significa que es posible que el código de programación no haya pasado por tantos ciclos de prueba de Control de calidad. También significa que muchos desarrolladores podrían haber aprovechado más código de fuente abierto, heredado y de terceros, otro posible factor de riesgo de fallas de seguridad. Al final, las organizaciones pueden haber mejorado su codificación, pero se han retrasado en las pruebas, según Madhani.

«Esto definitivamente concuerda con lo que hemos visto», dijo Casey Ellis, fundador y director de tecnología de Bugcrowd. «De manera más simple, la tecnología en sí se está acelerando y las vulnerabilidades son inherentes al desarrollo de software. Es un juego de probabilidad, y cuanto más software se produzca, más vulnerabilidades existirán. En términos de propagación, desde el punto de vista del descubrimiento, menor impacto los problemas tienden a ser más fáciles de presentar, más fáciles de encontrar y, por lo tanto, se informan con más frecuencia «.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

Un punto positivo en los últimos datos del NIST es el número relativamente bajo de vulnerabilidades de alto riesgo. Los 3.657 etiquetados de alto riesgo para 2021 muestran una tendencia a la baja con respecto a 2020 y los años anteriores. Para explicar esta caída, Madhani dijo que el número más bajo probablemente se deba a mejores prácticas de codificación por parte de los desarrolladores. Al adoptar una estrategia de «cambio a la izquierda» en la que las pruebas se realizan al principio del ciclo de codificación, los desarrolladores han logrado poner un mayor énfasis en la seguridad.

Aún así, los resultados generales siguen siendo alarmantes y señalan los desafíos que enfrentan las organizaciones al tratar de realizar un seguimiento de todas sus aplicaciones vulnerables y otros activos.

«Se ha vuelto casi imposible para las organizaciones crear un inventario preciso de todos los activos de TI conectados a su empresa», dijo el cofundador de Sevco Security, Greg Fitzgerald. «La razón principal de esto es que la mayoría de las empresas tienen inventarios de activos de TI que no reflejan toda su superficie de ataque, que en las empresas modernas se extiende más allá de la red para incluir la nube, los dispositivos personales, los trabajadores remotos y todo lo que esté en las instalaciones. Hasta Las organizaciones pueden comenzar a trabajar a partir de un inventario de activos de TI completo y preciso, las vulnerabilidades mantendrán su valor para los piratas informáticos y presentarán riesgos reales para las empresas «.

Ver también