Las organizaciones gubernamentales y las instituciones educativas en particular son cada vez más el objetivo de los piratas informáticos a medida que aumentan las infracciones cibernéticas graves.
La ejecución remota de código (RCE), las secuencias de comandos entre sitios (XSS) y la inyección SQL (SQLi) se encuentran entre los delitos de software más graves. Los tres factores han aumentado o se han mantenido alrededor de las mismas cifras asombrosas año tras año.
RCE es a menudo el objetivo final de los actores maliciosos y una de las principales causas de las estafas de TI después de la violación de Log4Shell. La vulnerabilidad ha ido en constante aumento desde 2018.
empresa de seguridad empresarial Invicti El Informe de métricas de AppSec de primavera de 2022, publicado el mes pasado, reveló vulnerabilidades web para más de 939 clientes en todo el mundo. Estos hallazgos provienen de un análisis del conjunto de datos más grande de la plataforma Invicti AppSec, que contiene más de 23 000 millones de escaneos de aplicaciones de clientes y descubre 282 000 vulnerabilidades de impacto directo.
La investigación de Invicti muestra que un tercio de las instituciones educativas y las organizaciones gubernamentales han experimentado SQLi al menos una vez en el último año. Los datos de 23.600 millones de controles de seguridad subrayan la necesidad urgente de un enfoque integral para la seguridad de las aplicaciones, ya que las organizaciones gubernamentales y educativas aún corren el riesgo de las inyecciones de SQL este año.
Los datos muestran que muchas vulnerabilidades comunes y bien entendidas en las aplicaciones web continúan proliferando. También muestra que la persistencia de estas vulnerabilidades representa un grave riesgo para las organizaciones en todas las industrias.
Incluso las vulnerabilidades conocidas aún prevalecen en las aplicaciones web, dijo Mark Ralls, presidente y director de operaciones de Invicti. Las organizaciones deben dominar su postura de seguridad para garantizar que la seguridad sea parte del ADN de la cultura, los procesos y las herramientas de la organización para que la innovación y la seguridad trabajen juntas.
«Hemos visto que las peores infracciones cibernéticas continúan prosperando, ya sea a un ritmo constante o con una frecuencia cada vez mayor en los últimos cuatro años», dijo Lars a TechNewsWorld.
Tabla de Contenidos
Punto principal
Ralls señaló que el aumento desenfrenado de los incidentes de inyección SQL vistos en organizaciones gubernamentales y educativas es el aspecto más sorprendente del estudio.
Particularmente irritante es SQLi, cuya frecuencia ha aumentado un 5% en los últimos cuatro años. Tales vulnerabilidades web permiten a los actores maliciosos modificar o reemplazar las consultas que una aplicación envía a su base de datos. Esto es de particular preocupación para las organizaciones del sector público que a menudo almacenan información y datos personales altamente confidenciales.
RCE es la joya de la corona de cualquier atacante cibernético y fue el vector detrás del incidente Log4Shell del año pasado. También ha aumentado un 5% desde 2018. La frecuencia de XSS aumentó un 6%.
“Estas tendencias se repiten en los hallazgos del informe, que revelan un estado preocupante de ciberseguridad”, dijo Lars.
Brecha de habilidades, escasez de talento
Para sorpresa de los investigadores, las organizaciones que escanearon activos informaron un aumento en la cantidad de vulnerabilidades. Podría haber muchas razones para esto. Pero la falta de desarrollo de software con capacitación en ciberseguridad es uno de los culpables.
«Los desarrolladores, en particular, pueden necesitar más educación para evitar estos errores en primer lugar. Descubrimos que incluso en las primeras etapas de desarrollo, los escaneos no revelaron vulnerabilidades», explicó Ralls.
Cuando los desarrolladores no abordan las vulnerabilidades, terminan poniendo en riesgo a sus organizaciones. Las herramientas adecuadas de automatización e integración pueden ayudar a los desarrolladores a abordar estas vulnerabilidades más rápido y reducir los costos potenciales para las organizaciones, agregó.
No culpes solo a las aplicaciones web
Las aplicaciones web en sí mismas no se han vuelto inseguras. Lo que es más, los desarrolladores están cansados, con exceso de trabajo y, a menudo, no tienen la experiencia suficiente.
A menudo, las organizaciones contratan a desarrolladores que carecen de la experiencia y la formación necesarias en ciberseguridad. A medida que continúa la transformación digital, las empresas y organizaciones están digitalizando y desarrollando aplicaciones para más aspectos de sus operaciones, dijo Lars.
«Además, la cantidad de nuevas aplicaciones web que ingresan al mercado cada día significa que cada aplicación adicional es una vulnerabilidad potencial», dijo. Por ejemplo, es menos probable que una empresa con 10 aplicaciones tenga un SQLi que una empresa con 1000 aplicaciones.
tratamiento aplicado
Los equipos de negocios, ya sea que desarrollen o consuman software, necesitan el paradigma y la tecnología adecuados. Esto implica priorizar un modelo de diseño de seguridad que cubra todas las bases y construir seguridad en el proceso precodificado detrás de la arquitectura de la aplicación.
«Derriba los muros entre los equipos», aconseja Lars. «Especialmente entre la seguridad y el desarrollo, y asegurarse de que las normas y estándares de toda la organización estén vigentes y se mantengan universalmente».
Sobre el tema de invertir en herramientas de AppSec para frenar el auge del software con errores, Ralls recomienda herramientas robustas:
- Automatice tanto como sea posible;
- Integre a la perfección en los flujos de trabajo existentes;
- Proporcione análisis e informes para mostrar evidencia de éxito y dónde se necesita hacer más.
No pase por alto la importancia de la precisión. «Las herramientas con bajas tasas de falsos positivos y una guía clara y procesable para los desarrolladores son imprescindibles. De lo contrario, está perdiendo el tiempo, su equipo no adoptará la tecnología y su postura de seguridad no será mejor», dijo. concluyó.
La parte del punto ciego entra en juego
Las infracciones importantes y las vulnerabilidades peligrosas continúan exponiendo los puntos ciegos de las organizaciones, agregó Lars. Como prueba, eche un vistazo al impacto de torbellino de Log4Shell.
Las empresas de todo el mundo se esfuerzan por comprobar si son vulnerables a los ataques RCE en la biblioteca Log4j ampliamente utilizada. Algunos de estos riesgos, que deberían haber desaparecido para siempre, están aumentando en frecuencia. Se reduce a una desconexión entre las realidades del riesgo y el mandato estratégico de la innovación.
«No siempre es fácil involucrar a todos en la seguridad, especialmente cuando la seguridad parece estar impidiendo que las personas completen un proyecto o es demasiado costosa de configurar», dijo Lars.
Un número cada vez mayor de políticas de seguridad de red y técnicas de escaneo eficaces pueden reducir la aparición de amenazas persistentes y facilitar el cierre de la brecha entre la seguridad y la innovación.
