Crecen las vulnerabilidades críticas, pero se reducen las graves
- Actualidad
Según se desprende del informe State of Vulnerabilities 2024, de Synack, las empresas se enfrentaron a más vulnerabilidades críticas, mientras se reducían las graves.
Recomendados.... Tendencias 2024 en ciberseguridad: qué está sucediendo. Ver
Combatir amenazas desconocidas con tecnologías Cisco. Disponible
|
Synack ha publicado su informe State of Vulnerabilities 2024, que combina cientos de miles de horas de datos de pruebas de penetración (pentesting) con el análisis de más de 14.000 vulnerabilidades en diferentes sectores para mostrar en detalle el volumen y la gravedad de las mismas, así como las tendencias de mitigación para cada sector.
El Synack Red Team (SRT) refleja en su informe que, para todos los sectores analizados, en 2023 los clientes experimentaron una mayor proporción de vulnerabilidades críticas que en 2022, si bien se registra también una ligera reducción en las vulnerabilidades graves. Sin embargo, y a pesar de la presión cada vez mayor sobre los equipos de seguridad, estos han logrado reducir el tiempo medio de remediación en 18 días para las vulnerabilidades graves (de 92 a 74 días) y en 24 días en el caso de las vulnerabilidades críticas (de 80 a 56 días).
Si hablamos de los tipos de vulnerabilidades, el informe no registra grandes novedades, ya que identifica las mismas categorías que persisten año tras año, con un aumento de las amenazas en torno a fallos de inyección.
El informe también analiza las principales vulnerabilidades, así como el tiempo medio de remediación, para los sectores de sanidad, servicios financieros, administración, tecnología y fabricación. En el caso de las empresas sanitarias, se localizaron más de 5.400 subdominios, 1.500 aplicaciones web y 1.400 direcciones IP como media, expuestas públicamente, lo que constituye la mayor superficie de ataque de todos los sectores analizados.
De todas las vulnerabilidades detectadas, casi 1.900 eran inyecciones SQL, clasificadas como críticas o de alta gravedad. Estas brechas pusieron de manifiesto tanto las fortalezas como las debilidades de seguridad en los diferentes sectores. Por ejemplo, las empresas de servicios financieros tardaron como media 53 días en remediar vulnerabilidades de inyección SQL, mientras que las empresas de tecnología tardaron más (57 días) y las de sanidad solo 45 días.
En palabras de Jay Kaplan, CEO y cofundador de Synack, "conocer la superficie de ataque de la organización y el posible impacto de la explotación de vulnerabilidades es crucial para tomar decisiones inteligentes".
Al hilo de los datos, este responsable añade que “vemos muchas razones para ser optimistas pero eso no significa que la amenaza esté disminuyendo”.