La mayoría de los programas de gestión de vulnerabilidades son ineficaces

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento Microsegmentación, clave para seguridad empresarial Leer Identificación de ataques web Leer

Vulcan Cyber ha dado a conocer los resultados de una investigación sobre programas de priorización y mitigación de riesgos de vulnerabilidad, que destacan la lucha de los equipos de seguridad de TI para pasar de la simple identificación de vulnerabilidades a una respuesta y mitigación significativas. El 86% de los encuestados confía en datos de gravedad de vulnerabilidades de terceros para priorizar las vulnerabilidades, y un 70% adicional confía en la inteligencia de amenazas de terceros. Estos datos revelan que muchos equipos confían en exceso en métricas de fuentes de terceros, que carecen del contexto necesario para comprender y reducir realmente el riesgo específico de la empresa.

La encuesta encontró que la mayoría de los encuestados agrupan las vulnerabilidades por infraestructura (64%), seguidas por la función empresarial (53%) y la aplicación (53%). La priorización de riesgos asociada exclusivamente con la infraestructura y las aplicaciones no es significativa sin el contexto de los activos.

"El riesgo sin contexto empresarial es irrelevante. A un CISO no le importa la postura de riesgo de un servidor y una base de datos utilizados por los servicios de limpieza para administrar los niveles de inventario de toallas de papel. Pero si exactamente el mismo servidor tuviera información de identificación personal de los clientes, eso constituiría un nivel de riesgo cibernético completamente diferente y significativamente más severo", apunta Yaniv Bar-Dayan, cofundador y CEO de Vulcan Cyber.

Los datos de la encuesta indican una desalineación generalizada entre las prácticas de priorización de vulnerabilidades en uso hoy en día. El 78% de los encuestados dijo que las vulnerabilidades altamente priorizadas deberían clasificarse más bajas, mientras que el 69% de los encuestados dijo que las vulnerabilidades de menor rango deberían clasificarse más altas. Más del 80% estuvieron de acuerdo en que se beneficiarían de una mayor flexibilidad para priorizar las vulnerabilidades en función de su entorno de riesgo particular.

Para calificar y priorizar las vulnerabilidades, la gran mayoría de los responsables de la toma de decisiones utilizan dos o más de los siguientes modelos: el sistema común de puntuación de vulnerabilidades (CVSS) (71%), OWASP top 10 (59%), la gravedad informada por el escáner (47%), CWE Top 25 (38%) o los modelos de puntuación a medida (22%). Para ofrecer una gestión significativa del riesgo cibernético, un modelo de puntuación a medida que tenga en cuenta varios sistemas de puntuación estándar de la industria es ideal y más eficiente.

Al 54% de los encuestados le preocupa por la exposición a datos confidenciales como resultado de vulnerabilidades de aplicaciones, seguida de la autenticación rota (44%), las configuraciones erróneas de seguridad (39%), y el registro y la supervisión insuficientes (35%). Los encuestados también indicaron que MS14-068 (cuentas de usuario sin privilegios de Microsoft Kerberos) era la vulnerabilidad más preocupante para sus organizaciones, por encima de vulnerabilidades de alto perfil como MS08-067 (Conficker, Downadup, Kido, etc.), CVE-2019-0708 (BlueKeep), CVE-2014-0160 (Heartbleed) y MS17-010 (EternalBlue).