Empresas evalúan más de 100 vulnerabilidades por día
Tenable anunció que las empresas identifican 870 vulnerabilidades únicas en sus sistemas cada día, en promedio. De éstas, más de 100 vulnerabilidades son calificadas como críticas en el sistema de puntuación de vulnerabilidad común (CVSS), una medida estándar de la industria. La priorización basada únicamente en las calificaciones de CVSS le está fallando a la industria e impide a las organizaciones concentrarse con eficacia y confianza en qué vulnerabilidades requieren una acción inmediata.
Los hallazgos del Informe de Inteligencia de Vulnerabilidades confirman que el manejo de las vulnerabilidades es un desafío de escala, volumen y velocidad. El equipo de Investigación de Tenable analizó datos anónimos de 900,000 evaluaciones de vulnerabilidades en 2,100 empresas. El equipo estima que la industria está en camino de revelar hasta 19,000 nuevas vulnerabilidades en 2018, un aumento del 27 por ciento con respecto a 2017. Sin embargo, en 2017, los exploits públicos estuvieron disponibles solo para el siete por ciento de todas las vulnerabilidades, lo que significa que el 93 por ciento de todas las vulnerabilidades representan solo un riesgo teórico. Para la mayoría de las vulnerabilidades, nunca se desarrolla un exploit operativo y, de esas, un subconjunto aún más pequeño es armado activamente por los actores de amenazas, lo que dificulta la comprensión de qué vulnerabilidades se deben remediar primero, en todo caso.
Esta falta de priorización rigurosa significa que las organizaciones están luchando para evaluar y gestionar vulnerabilidades más que nunca y, en consecuencia, no pueden tomar decisiones estratégicas de tecnología. Por ejemplo, Adobe Flash no será compatible a partir de 2020 en adelante y no se usa comúnmente en la mayoría de los entornos empresariales. Sin embargo, Adobe Flash aún persiste en las empresas y sus vulnerabilidades representan la mitad de las 20 vulnerabilidades de aplicaciones más frecuentes en estos entornos.
“Cuando todo es urgente, falla el triaje. Como industria, debemos darnos cuenta de que la reducción efectiva del riesgo cibernético comienza con la priorización efectiva de los problemas ”, dijo Tom Parsons, director sénior de gestión de productos de Tenable. “Para mantenerse al día con el volumen y la velocidad actuales de las nuevas vulnerabilidades, las organizaciones necesitan información procesable sobre dónde se encuentran sus mayores exposiciones; de lo contrario, la remediación no es más que un juego de adivinanzas. Esto significa que las organizaciones deben centrarse en las vulnerabilidades que están siendo explotadas activamente por los actores de amenazas en lugar de aquellas que solo podrían ser utilizadas en teoría”.
Para hacer frente a este diluvio de vulnerabilidades, Tenable anunció la Priorización Predictiva, una innovación única en su tipo que brindará a las organizaciones una capacidad sin precedentes para priorizar aquellas vulnerabilidades que representan el mayor riesgo real para el negocio. Con la Priorización Predictiva, Tenable combina una variedad de fuentes de datos e inteligencia de amenazas con algoritmos avanzados de ciencia de datos para determinar la probabilidad de que los actores de amenazas aprovechen una vulnerabilidad. La Priorización Predictiva estará disponible para Tenable.io® y Tenable.sc, (anteriormente SecurityCenter) en 2019.