Los resultados del análisis de vulnerabilidades en Security Navigator de Orange Cyberdefenses muestran que algunas vulnerabilidades descubiertas por primera vez en 1999 todavía se encuentran en las redes en la actualidad. Esto es preocupante.
Edad de los hallazgos de VOC#
Nuestros escaneos de vulnerabilidades se realizan de forma recurrente, lo que nos brinda la oportunidad de examinar la diferencia entre cuándo se realizó un escaneo en un activo y cuándo se informó un hallazgo determinado en ese activo. Podemos llamar a eso el hallazgo ‘Edad’. Si no se abordan los hallazgos notificados por primera vez, se producirán en más escaneos a lo largo del tiempo a medida que aumenta la Edad, y así podemos rastrear cómo cambia la Edad de los hallazgos informados a lo largo del tiempo.
Como ilustra claramente el siguiente cuadro, la mayoría de los hallazgos reales en nuestro conjunto de datos, en todos los niveles de gravedad, tienen entre 75 y 225 días de antigüedad. Hay un segundo «pico» alrededor de los 300 días, que sospechamos tiene más que ver con la antigüedad de los datos en el conjunto de datos y, por lo tanto, puede ignorarse. Finalmente, hay un ‘golpe’ fascinante alrededor de los 1000 días, que creemos que representa la ‘cola larga’ de hallazgos en el conjunto de datos que simplemente nunca se abordará.
El 75 % de los hallazgos en el ‘golpe’ de 1000 días son de gravedad media, pero el 16 % se clasifican como de gravedad alta o crítica.
La edad promedio de los hallazgos en nuestro conjunto de datos se ve afectada tanto por los cambios en nuestro conjunto de clientes y activos como por cualquier factor externo, como se puede ver en el alto grado de variación. Sin embargo, hay un claro aumento en la edad promedio de los hallazgos del 241 % de 63 a 215 días durante los 24 meses desde que incorporamos clientes a esta plataforma.
La agrupación aproximada de los hallazgos confirmados de nuestros datos de exploración de vulnerabilidades por «grupo de edad» revela lo siguiente:
- Solo el 20% de todos los hallazgos se abordan en menos de 30 días
- 80% todos los hallazgos tardan 30 días o más en parchearse
- El 57% de todos los hallazgos tardan 90 días o más en parchearse.
- Promedio de 215 días
Antigüedad media/máxima de los hallazgos por gravedad#
El gráfico a continuación sugiere que incluso las vulnerabilidades críticas tardan alrededor de 6 meses en promedio en resolverse, pero eso es alentador al menos un 36 % más rápido que el tiempo para problemas de baja gravedad.
Echando un vistazo más de cerca a las lecturas de tiempo promedio versus tiempo máximo para diferentes clasificaciones de criticidad, terminamos con el gráfico a continuación.
Si bien nuestra conclusión de que los problemas críticos se resuelven más rápido representa el tiempo promedio de mitigación, el tiempo máximo es consistentemente alto, independientemente de la criticidad.
Tendremos que observar más esta métrica a medida que el conjunto de datos crezca en el futuro.
Comparación de la industria#
La edad máxima de los hallazgos en la vista a continuación sirve tanto como una indicación de cuánto tiempo los clientes de esa industria han estado presentes en nuestro conjunto de datos como cualquier otra cosa, mientras que la edad promedio es un mejor indicador de qué tan bien los clientes están resolviendo los problemas. informamos. Por lo tanto, las industrias con máximos altos y promedios bajos estarían haciendo lo mejor, máximo alto y promedio alto… lo ‘peor’. Las industrias con edades máximas muy bajas probablemente no hayan estado en el conjunto de datos por mucho tiempo y, por lo tanto, tal vez no deberían incluirse en las comparaciones de esta métrica.
Independientemente de cómo se comparen estas industrias, la edad del hallazgo es una métrica preocupante.
¿Qué edad tienen realmente esas vulnerabilidades?#
Hasta ahora solo hemos analizado el tiempo relativo, desde que encontramos por primera vez una vulnerabilidad en un activo hasta ahora (si aún está presente). Sin embargo, eso no nos da ninguna información sobre la antigüedad real de esas vulnerabilidades. Echando un vistazo más de cerca a los CVE encontrados, podemos analizar sus fechas de publicación. Los resultados son algo desconcertantes, pero parecen ajustarse a la imagen que surge: por una u otra razón, algunas vulnerabilidades simplemente no se solucionan nunca. Pasan a formar parte de la deuda de seguridad que acumulan las empresas.
- El 0,5 % de los ECV notificados tienen 20 años o más
- El 13% de los informes de CVE tienen 10 años o más.
- El 47% de los CVE tienen 5 años o más.
Conclusión#
Cada día se publican más de 22 vulnerabilidades con CVE asignados. Con un puntaje CVSS promedio superior a 7 (gravedad alta), cada una de estas vulnerabilidades reveladas es un punto de datos significativo que afecta nuestras ecuaciones de riesgo y nuestra exposición real a las amenazas.
El escaneo de vulnerabilidades y las pruebas de penetración son mecanismos que utilizamos para dar sentido a las vulnerabilidades que pueden afectar nuestra postura de seguridad, comprender su impacto potencial, priorizar y tomar las medidas adecuadas. Estos dos ejercicios de evaluación tienen un enfoque diferente, pero usan un lenguaje similar y tienen un propósito similar.
Este año estamos incluyendo un análisis de conjuntos de datos de ambos servicios en el Navegador. Esta es la primera vez que intentamos esto, y nuestros datos aún están lejos de ser perfectos.
Lo que podemos ver claramente es que estamos luchando para gestionar las vulnerabilidades que conocemos. En promedio, nuestros clientes tardan 215 días en parchear una vulnerabilidad que les informamos. Esto es un poco más bajo para las vulnerabilidades críticas: parece que se corrigen un 36 % más rápido que los problemas de gravedad «baja». Pero el panorama sigue siendo sombrío: el 80 % de todos los hallazgos tardan 30 días o más en parchearse, el 57 % tarda 90 días o más.
¡Nuestros equipos de pentesting todavía están descubriendo vulnerabilidades que se identificaron por primera vez en 2010, y nuestros equipos de escaneo encuentran problemas que datan de 1999! De hecho, el 47% de los CVE tienen 5 años o más. El 13% tiene 10 años o más. Este es un resultado preocupante.
Esto es solo un extracto del análisis. Se pueden encontrar más detalles, como la criticidad de las vulnerabilidades y los cambios en los resultados de análisis de Pentesting y VOC a lo largo del tiempo (así como una tonelada de otros temas de investigación interesantes), en el Navegador de seguridad . Es gratis, así que échale un vistazo. ¡Vale la pena!
Nota: Charl van der Walt, jefe de investigación de seguridad de Orange Cyberdefense, ha elaborado este artículo informativo de forma experta y lo ha compartido generosamente.
Fuente: https://thehackernews.com
