2021 fue otro año récord para el descubrimiento y la divulgación de nuevas vulnerabilidades y exposiciones comunes (CVE), según el análisis de la Base de datos nacional de vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU.
Los analistas de la firma de servicios cibernéticos Redscan, parte del especialista en gestión de riesgos Kroll, que han estado estudiando detenidamente las cifras de NVD, dijeron que hasta la fecha se registraron 18.439 CVE en 2021, más que en cualquier otro año desde que comenzaron los registros, con un promedio de más de 50 por día. .
Dijeron que la tendencia continua de que se registran más y más errores refleja la rápida evolución del panorama de amenazas y la dificultad que enfrentan los investigadores de seguridad para mantenerse al día; Como todo el mundo sabe a estas alturas, 2021 ha sido un año difícil para los equipos de seguridad, con picos dramáticos en los ataques de ransomware, el aumento y el aumento de los compromisos de la cadena de suministro y el impacto continuo de Covid-19.
“Lamentablemente, el 2021 es un año sin precedentes en cuanto a vulnerabilidades está en línea con nuestras expectativas al comienzo de un año que ha resultado muy difícil para los profesionales de la seguridad”, dijo George Glass, jefe de inteligencia de amenazas de Redscan.
“Los delitos cibernéticos y las vulnerabilidades de seguridad están evolucionando todo el tiempo, y los equipos de seguridad luchan por mantenerse actualizados. Este hito también es un recordatorio de la importancia continua de la gestión de parches y la defensa en profundidad.
“No todas las vulnerabilidades son conocidas y parcheadas, lo que significa que los equipos de seguridad deben tener controles para detectar y responder a los ataques en su infancia antes de que puedan causar un daño real”, dijo.
De particular preocupación es un aumento notable en el número de ECV clasificados como de gravedad baja o media. “La prominencia de los CVE de alta disponibilidad que requieren habilidades técnicas limitadas para explotar y sin interacción del usuario es, naturalmente, una preocupación para los equipos de seguridad”, dijo Glass.
Se requieren habilidades técnicas limitadas
De hecho, aproximadamente el 90% de todos los nuevos CVE registrados en el NVD en 2021 podrían ser explotados por actores de amenazas con habilidades técnicas limitadas, mientras que el 54% de los nuevos errores se clasificaron como de alta disponibilidad, lo que significa que son fácilmente accesibles y explotables. Además, los CVE que no requieren la interacción del usuario, como hacer clic en un enlace malicioso o descargar un archivo contaminado, ahora representan el 61% del volumen total.
También existe la complicación adicional de que ver que una vulnerabilidad ha sido clasificada como de bajo impacto podría significar que los equipos de seguridad con la responsabilidad de parchear sus sistemas los pasen por alto en favor de corregir fallas críticas de alto impacto que atraen más atención.
Sin embargo, el equipo de Glass sí encontró algunas razones para estar alegre, con la cantidad de nuevos CVE que no requieren privilegios elevados para explotar cayendo por tercer año consecutivo, hasta el 55% del número total, desde el 59% del año pasado y 66 % en 2019. Además, la cantidad de nuevas vulnerabilidades con una alta calificación de confidencialidad, lo que significa que se considera probable que pongan los datos confidenciales en riesgo de exposición, se redujo del 59% al 53%.
Las cifras de Redscan se obtuvieron a las 9 a.m. GMT del 8 de diciembre de 2021, por lo que las cifras finales para el año casi con certeza variarán, particularmente después del último lanzamiento programado del martes de parches de Microsoft del año, que caerá el 14 de diciembre.
Mientras tanto, el especialista en piratería ética y pruebas de penetración HackerOne también informó un año excelente para las vulnerabilidades, con los piratas informáticos que trabajan a través de su plataforma informando más de 66.000 vulnerabilidades válidas en 2021, un 20% más que en 2020, como esfuerzos de transformación digital inducidos por una pandemia y subcontratación a terceros y proveedores de la nube, continúan exponiendo más superficies de ataque.
En su anual Seguridad impulsada por piratas informáticos informe, HackerOne dijo que también encontró que los precios de recompensa por errores para vulnerabilidades de calificación alta y crítica también están en aumento: los errores críticos ahora alcanzan $ 3,000 (£ 2,270 / € 2,652) en promedio, frente a $ 2,500 en 2020, y positivamente, los usuarios están cada vez más rápido para remediarlos.
“Incluso las organizaciones más conservadoras están reconociendo el poder del punto de vista externo”, dijo Chris Evans, director de seguridad de la información y director de piratería informática recién nombrado de HackerOne. “Seguimos viendo un alto crecimiento en el sector de servicios financieros, por ejemplo.
“Medir y cuantificar el riesgo es su negocio, y están viendo que tanto el riesgo como el resultado comercial son mejores si adoptan a los piratas informáticos. En general, vemos que los clientes utilizan datos de informes de vulnerabilidad para informar sus ciclos de vida de desarrollo de software.
“Las organizaciones están detectando problemas antes y resolviéndolos, a un costo muy reducido al enfocarse en mejoras en la educación de los desarrolladores, integraciones de código fuente y marcos de desarrollo”, dijo.
HackerOne también reveló que la adopción de iniciativas de seguridad lideradas por piratas informáticos aumentó en todas las verticales encuestadas, con un aumento del 34% en los programas de clientes este año. Los errores más extendidos reportados en su plataforma fueron vulnerabilidades de secuencias de comandos entre sitios, aunque también están aumentando otras categorías de vulnerabilidad.