El segundo informe anual sobre el estado de las vulnerabilidades de Synack, revela un aumento en su gravedad, así como el progreso en la reparación
El informe de 2024 incluye un detalle de cada industria y un análisis de vulnerabilidades
REDWOOD CITY, California, 20 de junio de 2024 /PRNewswire/ -- Synack, la principal plataforma de pruebas de seguridad, ha publicado hoy su segundo informe anual sobre el estado de las vulnerabilidades, que combina cientos de miles de horas de pruebas de penetración y un análisis de más de 14.000 vulnerabilidades explotables para analizar directamente la gravedad, volumen y tendencias de corrección de fallos de software en todos los sectores.
"Comprender su superficie de ataque y cómo la explotación exitosa de las vulnerabilidades podría afectar a su organización, es crucial para tomar decisiones comerciales y de seguridad inteligentes", dijo Jay Kaplan, director general y cofundador de Synack. "Nos enorgullece publicar el segundo Informe anual sobre el estado de las vulnerabilidades de Synack para ayudar a las organizaciones de los sectores de la salud, servicios financieros, gobierno federal, tecnología y manufactura a comprender a qué vulnerabilidades se enfrentan y cómo pueden mantenerse un paso por delante de los atacantes. Vemos muchas razones para ser optimistas, pero eso no significa que la amenaza esté disminuyendo".
Las vulnerabilidades de gravedad crítica aumentan, pero los tiempos de reparación mejoran
El Synack Red Team (SRT, por sus siglas en inglés), una comunidad de los hackers éticos más confiables y hábiles del mundo, descubrió que en todas las industrias, los clientes experimentaron una mayor proporción de vulnerabilidades de gravedad crítica en 2023 con relación a 2022, y una ligera reducción en las vulnerabilidades de alta gravedad. A pesar de las crecientes presiones sobre los equipos de seguridad, las organizaciones redujeron su tiempo medio para remediar las vulnerabilidades de gravedad crítica en 24 días y las vulnerabilidades de alta gravedad en 18 días, hasta 56 y 74 días, respectivamente.
Sin embargo, el informe identificó las mismas categorías de vulnerabilidades que persisten año tras año, lo que indica un aumento de las amenazas en torno a las fallas de inyección, que se destacaron en una reciente Alerta de Seguridad por Diseño de la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los sectores de la salud y la tecnología vieron un aumento en las inyecciones SQL, mientras que las fallas de inyección, incluido el XSS, representaron aproximadamente un tercio de todas las vulnerabilidades que Synack descubrió en 2023.
Detalle de cada industria
El informe de Synack revela hallazgos clave para vulnerabilidades de primer nivel y tiempos de reparación para los sectores de la salud, servicios financieros, gobierno federal, tecnología y manufactura.
A continuación se presentan algunas tendencias clave, identificadas al analizar las cinco industrias:
- En promedio, las empresas de atención médica tenían más de 5.400 subdominios, 1.500 aplicaciones web y 1.400 direcciones IP expuestas públicamente, la mayor superficie de ataque de cualquier industria vertical revisada.
- De las vulnerabilidades encontradas, casi 1.900 fueron inyecciones SQL calificadas como críticas o de alta gravedad.
- Las fallas de inyección magnificaron las debilidades de los sectores. En promedio, las empresas de servicios financieros tardaron 53 días en remediar las vulnerabilidades de inyección SQL, las empresas de tecnología tardaron 57 días y las empresas de atención médica tardaron solo 45 días.
El informe se basa en datos de evaluaciones de seguridad realizadas en la base de clientes global de Synack, el cual se alinea con las categorías de vulnerabilidad en el documento de concientización estándar OWASP Top 10. Los más de 1.500 miembros del SRT pasaron colectivamente más de 27.000 días probando los activos de los clientes de Synack el año pasado, incluidos la nube, interfaz de programación de aplicaciones, modelo de lenguaje de gran escala de IA (LLM, por sus siglas en inglés), aplicación web, infraestructura de host y las superficies de ataque móviles.
Para leer el informe completo, visite: https://go.synack.com/state-of-vulnerabilities-2024
Acerca de Synack
La principal plataforma de pruebas de seguridad de Synack aprovecha una comunidad talentosa y examinada de investigadores de seguridad y tecnología inteligente, para ofrecer pruebas de penetración continua y gestión de vulnerabilidades, con resultados procesables. Estamos comprometidos a hacer que el mundo sea más seguro, cerrando la brecha de habilidades en ciberseguridad, brindando a las organizaciones acceso bajo demanda a los investigadores de seguridad más confiables del mundo. Con sede en Silicon Valley y equipos regionales en todo el mundo, Synack protege una creciente lista de clientes de Global 2000 y agencias de EE. UU. en un entorno autorizado y controlado de FedRAMP. El enfoque integral de Synack para Pruebas de Penetración como Servicio (PTaaS, por sus siglas en inglés) descubrió más de 14.000 vulnerabilidades explotables solo en 2023. Para más información, visite www.synack.com.
Logotipo - https://mma.prnewswire.com/media/838158/Synack_Logo_v2.jpg
FUENTE Synack
Compartir este artículo