Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Tres ideas sobre inteligencia de vulnerabilidades que merecen su atención

El Informe de Inteligencia de Vulnerabilidades, publicado hoy por Tenable Research, brinda una descripción general de las tendencias actuales de revelación de vulnerabilidades y conocimientos sobre la demografía de vulnerabilidades reales en entornos empresariales. A continuación, se detallan tres puntos destacados del informe.

Debido a que las vulnerabilidades representan la base de todo lo que hacemos en Tenable Research, el estado del ecosistema de vulnerabilidad es de particular interés para nosotros.

Para obtener una vista completa del espectro del ecosistema de vulnerabilidades, primero debe evaluar los desarrollos y las tendencias en la investigación y la revelación de vulnerabilidades. Este aspecto está bien estudiado, ya que muchos proveedores y organizaciones de la industria publican con regularidad comentarios sobre tendencias en Common Vulnerabilities and Exposures (CVE) y en la Base de datos de vulnerabilidad nacional (NVD). El conocimiento de la diversidad, el crecimiento y la evolución de las vulnerabilidades, y las debilidades comunes nos da una idea de lo que posiblemente hay circulando ahí afuera, pero solo proporciona información descriptiva. CVE y NVD le informan qué vulnerabilidades existen en teoría, no en la práctica, y no brindan información sobre la población viva y activa de vulnerabilidades.

La comprensión de qué vulnerabilidades existen realmente exige conocer el comportamiento del usuario final y la telemetría, algo único de Tenable Research.Sabemos cuál la población de vulnerabilidades activas.De las 107.710 CVE distintas publicadas desde 1999, 22.625 (el 23 %) existen, en realidad, en entornos empresariales.Ese es el verdadero ecosistema de vulnerabilidades. El resto se ha extinguido o está escondido en el equivalente digital del lago Vostok.

Somos testigos de un crecimiento continuo en la cantidad relativa y absoluta de vulnerabilidades.En 2017, se publicaron 15.038 nuevas vulnerabilidades en comparación con las 9837 de 2016, lo que representa un aumento del 53 %.Si comparamos el primer semestre de 2018 con el primer semestre de 2017, actualmente nos encaminamos a un aumento del 27 %, o una proyección de 18.000 a 19.000 vulnerabilidades nuevas este año.Siendo realistas, probablemente nuestra proyección sea conservadora.

La gestión efectiva de amenazas y vulnerabilidades ahora está determinada por la escala y la complejidad, el volumen y la velocidad: la escala y la complejidad de redes y usuarios distribuidos, móviles y heterogéneos, el volumen de las vulnerabilidades resultantes y la velocidad con la que se revelan y explotan vulnerabilidades nuevas en circulación libre. Esto exige inteligencia procesable como nunca antes.No estamos exentos de este requisito aquí en Tenable Research, y practicamos lo que predicamos. El resultado: nuestro Informe de inteligencia de vulnerabilidades. Y porque creemos en la revelación completa y el intercambio de inteligencia, lo compartimos con nuestra comunidad..

Puede obtener una copia del informe haciendo clic aquí. Mientras tanto, me gustaría analizar tres elementos que realmente se destacaron en Tenable Research:

La versión 3 de CVSS ha agravado el problema de priorización

La versión 3 de CVSS se presentó en 2015 y tenía como objetivo resolver algunas limitaciones en la forma en que la versión 2 evaluaba el impacto de una vulnerabilidad, entre otros cambios. Si bien el puntaje de la versión 3 rara vez están disponibles para vulnerabilidades más antiguas, la mayoría de las vulnerabilidades de 2016 han comenzado a recibir el puntaje CVSSv3. Los comentarios de los informes de campo y de terceros han detectado debilidades en la versión 3 desde su lanzamiento. Nuestro propio análisis respalda la crítica, ya que muestra que CVSSv3 califica a la mayoría de las vulnerabilidades como Alta y Crítica.

Como se muestra en la Figura 1, CVSSv2 obtuvo un 31 % de CVE como de gravedad Alta, en comparación con el 60 % de gravedad Alta o Crítica en virtud de CVSSv3.

Utilizada sola, la metodología CVSSv3 agrava, en lugar de resolver, el problema de priorización. Antes de que esto se interprete como una aprobación del uso de CVSSv2, la causa original para la adopción de la versión 3 aún continúa: la versión 2 no refleja, de manera confiable, el riesgo que una vulnerabilidad representa a otros componentes del sistema.

Informe de inteligencia de vulnerabilidades de Tenable: CVE en general: distribuciones de
gravedad de CVSS

Figura 1: CVE en general: distribuciones de gravedad de CVSS

Las vulnerabilidades heredadas aún representan un riesgo residual

En la segunda sección del informe, analizamos la prevalencia de vulnerabilidades (vulnerabilidades que realmente existen en entornos empresariales) mediante el análisis de los datos de más de 900.000 escaneos de evaluación de vulnerabilidades realizadas entre marzo y agosto de 2018. También profundizamos en las vulnerabilidades del navegador web y de las aplicaciones, debido a su inclusión en kits del exploit y otros ataques del lado del cliente. ¿Qué nos llamó la atención de inmediato? Muchas de las vulnerabilidades que las empresas detectan se encuentran en software antiguos o heredados.

La Figura 2 muestra claramente la concentración de vulnerabilidades de Firefox de 2012 a 2017, con un máximo en 2015. Firefox tiene un poco más del 10 % de la cuota de mercado de navegadores web, pero, en realidad, representó el 53 % de todas las vulnerabilidades de gravedad Alta en nuestro conjunto de datos. Las vulnerabilidades de Firefox no se reparan.

Figura 2: Diferentes CVE de navegador web de gravedad Alta que prevalecen en entornos empresariales

Como puede ver en la Figura 3, existe un fenómeno similar para Microsoft Office y Oracle Java.

Figura 3: Diferentes CVE de aplicaciones de gravedad Alta que prevalecen en entornos empresariales

Puede haber justificaciones comerciales razonables para conservar sistemas y software heredados. Se conoce que Java, en particular, presenta dificultades debido a las dependencias de versiones.En esos casos, los sistemas vulnerables pueden segmentarse o el software puede incluso instalarse en un sistema virtual y solo iniciarse cuando sea necesario. Sin embargo, cuando no existe una razón comercial legítima, estas aplicaciones representan un riesgo residual que puede evitarse.

La explotabilidad no se utiliza lo suficiente como criterio de priorización

Cuando una vulnerabilidad se descubre por primera vez, es un riesgo hipotético. Con la publicación de un exploit, esa vulnerabilidad se torna un riesgo potencial si está presente en su sistema. Nuestra investigación muestra que había exploits públicos disponibles para el 7 % de las vulnerabilidades reveladas en 2017. Si bien eso dejó a las empresas con hasta 751 vulnerabilidades para priorizar, es mejor que el volumen que les hubiera quedado al usar CVSSv3 solo para la priorización.Ese abordaje les habría dado 8120 vulnerabilidades (el 54 % del total) con una puntuación de CVSSv3 de 7 o más para priorizar. Incluso reduciendo esto a solo CVSSv3 9-10, la calificación “Crítica” habría dejado 1804 vulnerabilidades (el 12 %).

La información se encuentra disponible para la mayoría de los usuarios finales en su solución de VA y se pone en funcionamiento automáticamente al correlacionar los datos de explotabilidad con las vulnerabilidades detectadas.

Cuando analizamos las 609 distintas vulnerabilidades de aplicaciones de gravedad Alta en nuestro conjunto de datos, descubrimos que la mayoría de las actualizaciones de seguridad faltantes reparaban vulnerabilidades para las que había exploits públicos. Como puede ver en la Figura 4, hay exploits públicos disponibles para la cantidad increíble del 79 % de las actualizaciones de seguridad faltantes que abordan las vulnerabilidades de Adobe Flash de gravedad Alta detectadas como faltantes por las empresas en sus entornos. En el caso de Adobe PDF, la cifra es del 96 %.Si tenemos en cuenta que el contenido habilitado para Flash en Internet ha disminuido considerablemente y que ya no tendrá soporte a partir de 2020, no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.El porcentaje más bajo en cualquier grupo de aplicaciones de actualizaciones de seguridad faltantes que abordan una vulnerabilidad con un exploit público disponible en el conjunto de datos fue del 41 %.

Figura 4: Exploits públicos disponibles para la cantidad increíble del 79 % de las actualizaciones de seguridad faltantes que abordan las vulnerabilidades de Adobe Flash de gravedad Alta

Este descubrimiento nos sorprendió si tenemos en cuenta lo útil que es la explotabilidad como un criterio para evaluar si una vulnerabilidad representa un riesgo de urgencia y que la información está ampliamente disponible. Sin duda, existe una necesidad de crear concientización en la comunidad sobre este criterio de priorización simple, pero eficaz.

Estos son solo tres de los descubrimientos clave que llamaron nuestra atención. Puede leer el informe completo aquí.

Para obtener más información:

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de acceso completo a nuestra última oferta de escaneo de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar el riesgo cibernético.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo escaneo de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de escaneo de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación