2021 marcó un récord en vulnerabilidades de software conocidas. Las organizaciones informaron de 20.130 vulnerabilidades, 55 al día de media. Y aunque sólo el 4% suponen un alto riesgo, incluso los departamentos de TI con más recursos y personal no pueden solucionar todas estas ‘brechas’ en sus infraestructuras.
¿Cómo evitar daños mayores y gestionar con mayor éxito las vulnerabilidades? Kenna Security, ahora parte de Cisco, ha presentado el informe Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability (descarga requiere registro), elaborado en colaboración con Cyentia Institute, que muestra la probabilidad relativa de que los ciber-delincuentes exploten estas vulnerabilidades.
El estudio desvela que priorizar adecuadamente las vulnerabilidades a subsanar centrándose en las de alto riesgo con código de explotación público es más eficaz que aumentar la capacidad de las organizaciones para parchearlas. Pero si además se consiguen ambas metas -priorizar y remediar-, se puede lograr una reducción de hasta 29 veces en la probabilidad de explotación.
Principales conclusiones
La capacidad de explotación medida en el informe se ha determinado utilizando el sistema abierto de puntuación de predicción de explotaciones (EPSS, Exploit Prediction Scoring System), una iniciativa de la industria que incluye a Kenna Security y al Instituto Cyentia y gestionada por FIRST.org. Esto permite mostrar la probabilidad relativa de que una organización en particular sea ‘explotada’.
La investigación confirma una directiva de la Agencia estadounidense de Seguridad de Infraestructuras y Ciberseguridad (CISA) que sugiere dejar de priorizar la reparación de vulnerabilidades basándose en las puntuaciones CVSS (Common Vulnerability Scoring System) para centrarse en las que suponen un riesgo inminente, evaluado mediante factores como el código de explotación e incluso las menciones en Twitter.
De hecho y según el informe de Kenna Security, priorizar la remediación de vulnerabilidades con código de explotación resulta 11 veces más eficaz que el sistema CVSS para minimizar el riesgo.
Otras conclusiones destacadas son:
- Casi todos los activos de TI (el 95%) tienen al menos una vulnerabilidad altamente explotable.
- La mayoría de las organizaciones (el 87%) muestran vulnerabilidades abiertas en al menos el 25% de sus activos, y el 41% en tres de cada cuatro activos.
- El 62% de las vulnerabilidades tiene menos de un 1% de posibilidades de explotación. Sólo el 5% de las vulnerabilidades conocidas (CVEs) superan el 10% de probabilidad.
“Las vulnerabilidades explotadas por los ciber-delincuentes solían ser el mejor indicador para los equipos de Seguridad a la hora de remediar”, destaca Ed Bellis, Cofundador y Director de Tecnología de Kenna Security, parte de Cisco. “Ahora podemos mostrar la probabilidad de que una organización en particular sea explotada, proporcionándole una oportunidad mucho mayor de combatir las potenciales ciber-amenazas de forma efectiva”.