Tres ideas sobre inteligencia de vulnerabilidades que merecen su atención
El Informe de Inteligencia de Vulnerabilidades, publicado hoy por Tenable Research, brinda una descripción general de las tendencias actuales de revelación de vulnerabilidades y conocimientos sobre la demografía de vulnerabilidades reales en entornos empresariales. A continuación, se detallan tres puntos destacados del informe.
Debido a que las vulnerabilidades representan la base de todo lo que hacemos en Tenable Research, el estado del ecosistema de vulnerabilidad es de particular interés para nosotros.
Para obtener una vista completa del espectro del ecosistema de vulnerabilidades, primero debe evaluar los desarrollos y las tendencias en la investigación y la revelación de vulnerabilidades. Este aspecto está bien estudiado, ya que muchos proveedores y organizaciones de la industria publican con regularidad comentarios sobre tendencias en Common Vulnerabilities and Exposures (CVE) y en la Base de datos de vulnerabilidad nacional (NVD). El conocimiento de la diversidad, el crecimiento y la evolución de las vulnerabilidades, y las debilidades comunes nos da una idea de lo que posiblemente hay circulando ahí afuera, pero solo proporciona información descriptiva. CVE y NVD le informan qué vulnerabilidades existen en teoría, no en la práctica, y no brindan información sobre la población viva y activa de vulnerabilidades.
La comprensión de qué vulnerabilidades existen realmente exige conocer el comportamiento del usuario final y la telemetría, algo único de Tenable Research.Sabemos cuál la población de vulnerabilidades activas.De las 107.710 CVE distintas publicadas desde 1999, 22.625 (el 23 %) existen, en realidad, en entornos empresariales.Ese es el verdadero ecosistema de vulnerabilidades. El resto se ha extinguido o está escondido en el equivalente digital del lago Vostok.
Somos testigos de un crecimiento continuo en la cantidad relativa y absoluta de vulnerabilidades.En 2017, se publicaron 15.038 nuevas vulnerabilidades en comparación con las 9837 de 2016, lo que representa un aumento del 53 %.Si comparamos el primer semestre de 2018 con el primer semestre de 2017, actualmente nos encaminamos a un aumento del 27 %, o una proyección de 18.000 a 19.000 vulnerabilidades nuevas este año.Siendo realistas, probablemente nuestra proyección sea conservadora.
La gestión efectiva de amenazas y vulnerabilidades ahora está determinada por la escala y la complejidad, el volumen y la velocidad: la escala y la complejidad de redes y usuarios distribuidos, móviles y heterogéneos, el volumen de las vulnerabilidades resultantes y la velocidad con la que se revelan y explotan vulnerabilidades nuevas en circulación libre. Esto exige inteligencia procesable como nunca antes.No estamos exentos de este requisito aquí en Tenable Research, y practicamos lo que predicamos. El resultado: nuestro Informe de inteligencia de vulnerabilidades. Y porque creemos en la revelación completa y el intercambio de inteligencia, lo compartimos con nuestra comunidad..
Puede obtener una copia del informe haciendo clic aquí. Mientras tanto, me gustaría analizar tres elementos que realmente se destacaron en Tenable Research:
La versión 3 de CVSS ha agravado el problema de priorización
La versión 3 de CVSS se presentó en 2015 y tenía como objetivo resolver algunas limitaciones en la forma en que la versión 2 evaluaba el impacto de una vulnerabilidad, entre otros cambios. Si bien el puntaje de la versión 3 rara vez están disponibles para vulnerabilidades más antiguas, la mayoría de las vulnerabilidades de 2016 han comenzado a recibir el puntaje CVSSv3. Los comentarios de los informes de campo y de terceros han detectado debilidades en la versión 3 desde su lanzamiento. Nuestro propio análisis respalda la crítica, ya que muestra que CVSSv3 califica a la mayoría de las vulnerabilidades como Alta y Crítica.
Como se muestra en la Figura 1, CVSSv2 obtuvo un 31 % de CVE como de gravedad Alta, en comparación con el 60 % de gravedad Alta o Crítica en virtud de CVSSv3.
Utilizada sola, la metodología CVSSv3 agrava, en lugar de resolver, el problema de priorización. Antes de que esto se interprete como una aprobación del uso de CVSSv2, la causa original para la adopción de la versión 3 aún continúa: la versión 2 no refleja, de manera confiable, el riesgo que una vulnerabilidad representa a otros componentes del sistema.
Figura 1: CVE en general: distribuciones de gravedad de CVSS
Las vulnerabilidades heredadas aún representan un riesgo residual
En la segunda sección del informe, analizamos la prevalencia de vulnerabilidades (vulnerabilidades que realmente existen en entornos empresariales) mediante el análisis de los datos de más de 900.000 escaneos de evaluación de vulnerabilidades realizadas entre marzo y agosto de 2018. También profundizamos en las vulnerabilidades del navegador web y de las aplicaciones, debido a su inclusión en kits del exploit y otros ataques del lado del cliente. ¿Qué nos llamó la atención de inmediato? Muchas de las vulnerabilidades que las empresas detectan se encuentran en software antiguos o heredados.
La Figura 2 muestra claramente la concentración de vulnerabilidades de Firefox de 2012 a 2017, con un máximo en 2015. Firefox tiene un poco más del 10 % de la cuota de mercado de navegadores web, pero, en realidad, representó el 53 % de todas las vulnerabilidades de gravedad Alta en nuestro conjunto de datos. Las vulnerabilidades de Firefox no se reparan.
Figura 2: Diferentes CVE de navegador web de gravedad Alta que prevalecen en entornos empresariales
Como puede ver en la Figura 3, existe un fenómeno similar para Microsoft Office y Oracle Java.
Figura 3: Diferentes CVE de aplicaciones de gravedad Alta que prevalecen en entornos empresariales
Puede haber justificaciones comerciales razonables para conservar sistemas y software heredados. Se conoce que Java, en particular, presenta dificultades debido a las dependencias de versiones.En esos casos, los sistemas vulnerables pueden segmentarse o el software puede incluso instalarse en un sistema virtual y solo iniciarse cuando sea necesario. Sin embargo, cuando no existe una razón comercial legítima, estas aplicaciones representan un riesgo residual que puede evitarse.
La explotabilidad no se utiliza lo suficiente como criterio de priorización
Cuando una vulnerabilidad se descubre por primera vez, es un riesgo hipotético. Con la publicación de un exploit, esa vulnerabilidad se torna un riesgo potencial si está presente en su sistema. Nuestra investigación muestra que había exploits públicos disponibles para el 7 % de las vulnerabilidades reveladas en 2017. Si bien eso dejó a las empresas con hasta 751 vulnerabilidades para priorizar, es mejor que el volumen que les hubiera quedado al usar CVSSv3 solo para la priorización.Ese abordaje les habría dado 8120 vulnerabilidades (el 54 % del total) con una puntuación de CVSSv3 de 7 o más para priorizar. Incluso reduciendo esto a solo CVSSv3 9-10, la calificación “Crítica” habría dejado 1804 vulnerabilidades (el 12 %).
La información se encuentra disponible para la mayoría de los usuarios finales en su solución de VA y se pone en funcionamiento automáticamente al correlacionar los datos de explotabilidad con las vulnerabilidades detectadas.
Cuando analizamos las 609 distintas vulnerabilidades de aplicaciones de gravedad Alta en nuestro conjunto de datos, descubrimos que la mayoría de las actualizaciones de seguridad faltantes reparaban vulnerabilidades para las que había exploits públicos. Como puede ver en la Figura 4, hay exploits públicos disponibles para la cantidad increíble del 79 % de las actualizaciones de seguridad faltantes que abordan las vulnerabilidades de Adobe Flash de gravedad Alta detectadas como faltantes por las empresas en sus entornos. En el caso de Adobe PDF, la cifra es del 96 %.Si tenemos en cuenta que el contenido habilitado para Flash en Internet ha disminuido considerablemente y que ya no tendrá soporte a partir de 2020, no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.El porcentaje más bajo en cualquier grupo de aplicaciones de actualizaciones de seguridad faltantes que abordan una vulnerabilidad con un exploit público disponible en el conjunto de datos fue del 41 %.
Figura 4: Exploits públicos disponibles para la cantidad increíble del 79 % de las actualizaciones de seguridad faltantes que abordan las vulnerabilidades de Adobe Flash de gravedad Alta
Este descubrimiento nos sorprendió si tenemos en cuenta lo útil que es la explotabilidad como un criterio para evaluar si una vulnerabilidad representa un riesgo de urgencia y que la información está ampliamente disponible. Sin duda, existe una necesidad de crear concientización en la comunidad sobre este criterio de priorización simple, pero eficaz.
Estos son solo tres de los descubrimientos clave que llamaron nuestra atención. Puede leer el informe completo aquí.
Para obtener más información:
- Descargue el Informe de inteligencia de vulnerabilidades.
- Lea el libro virtual: How to Prioritize Cybersecurity Risk: A Primer for CISOs (Cómo priorizar el riesgo de ciberseguridad: un ejemplo clásico para CISOs).
- Lea nuestro blog ejecutivo: Informe de inteligencia de vulnerabilidades: un abordaje centrado en las amenazas para la priorización.
Artículos relacionados
- Metrics
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning