[05/07/2022] A pesar de llevar años encabezando las listas de vulnerabilidades, los errores de inyección SQL y de cross-site scripting (XSS) siguen siendo la perdición de los equipos de seguridad, según un nuevo informe de una empresa de pruebas de penetración como servicio.
El informe de BreachLock, basado en ocho mil pruebas de seguridad realizadas en el 2021, organiza sus conclusiones en función del riesgo. Los hallazgos de riesgo crítico suponen una amenaza muy alta para los datos de una empresa. Los riesgos altos podrían tener un efecto catastrófico en las operaciones, los activos o las personas de una organización. Los riesgos medios podrían tener un efecto adverso en las operaciones, los activos o las personas.
Más de un tercio de los riesgos críticos encontrados en las aplicaciones web (35%) pueden atribuirse a la inyección o a la exposición de datos, lo que, según el informe, es motivo de preocupación porque el número de aplicaciones que se alojan en Internet está creciendo con el aumento de la digitalización entre las organizaciones.
"A pesar de que la inyección SQL es una vulnerabilidad tan común desde hace años, me sorprende ver que sigue siendo tan común como en el 2014, 2015. Más del 27% de nuestros hallazgos son de inyección SQL", afirmó el vicepresidente de productos de BreachLock, Prateek Bhajanka.
La adopción de DevSecOps mejora la seguridad de las aplicaciones
Lo más alarmante, según el informe, es que más del 50% de los hallazgos de alto riesgo encontrados en las aplicaciones web podrían atribuirse a errores de cross-site scripting. El informe explica que los desarrolladores suelen adoptar el enfoque de "lista de denegación" para la validación de datos, en lugar del enfoque de "lista de autorización", lo que lleva a que los nuevos datos exploten las vulnerabilidades de scripting entre sitios.
Sin embargo, los hallazgos críticos y altos para las aplicaciones web representan solo el 5% de todos los hallazgos para la categoría. Estos datos reafirman que la seguridad de las aplicaciones web, especialmente con la adopción de DevSecOps, está dando lugar a una mayor seguridad de las aplicaciones, según el informe.
Al analizar la infraestructura de las organizaciones, BreachLock encontró un mayor porcentaje de vulnerabilidades críticas y altas en su infraestructura interna (más del 15%) en comparación con su infraestructura externa (más del 9%). Esto indica, según el informe, que las organizaciones imponen un mayor rigor en la gestión de las vulnerabilidades externas que las internas.
El informe advierte que las ciberamenazas no solo provienen de los activos externos. Los sistemas internos pueden ser vulnerados utilizando correos electrónicos de phishing y credenciales robadas para elevar los privilegios y moverse lateralmente dentro de una red.
Las organizaciones más pequeñas son más vulnerables
Los hallazgos críticos y altos fueron bajos en las aplicaciones móviles, poco más del 7% para las aplicaciones de Android y cerca del 5% para los programas de iOS. Entre los errores críticos y altos más comunes en las aplicaciones móviles identificados en el informe estaban las credenciales codificadas en las aplicaciones. Utilizando estas credenciales, los atacantes pueden acceder a información sensible, explica el informe.
Más del 75% de los errores encontrados en las APIs estaban en la categoría baja. Sin embargo, el informe advierte que el riesgo bajo no equivale a la ausencia de riesgo. Los actores de las amenazas no tienen en cuenta la gravedad de los hallazgos antes de explotar una vulnerabilidad, advirtió. Entre los mayores riesgos críticos encontrados en las APIs se encuentran la falta de controles a nivel de función (47,55%) y las vulnerabilidades de Log4Shell (17,48%).
De todos los hallazgos altos y críticos en las empresas, el informe señaló que el 87% se encontró en organizaciones con menos de 200 empleados. El informe identificó varias razones para ello, como que la ciberseguridad es una idea tardía en las organizaciones relativamente pequeñas; la escasez de ancho de banda, conocimientos de seguridad y personal; la falta de liderazgo y presupuesto en materia de seguridad; y que la velocidad de los negocios prevalece sobre la necesidad de hacerlos de forma segura.
El informe también analizó los tiempos medios para mitigar los hallazgos críticos y de alto nivel por verticales de negocio, encontrando los tiempos más altos en los sectores de la fabricación (101 días) y la sanidad (95,56 días), y los tiempos más bajos en los sectores del automóvil (30 días) y los servicios profesionales (33 días).
Bhajanka espera que las organizaciones puedan utilizar las conclusiones del informe para mejorar su postura de ciberseguridad. "Podrán ver si lo están haciendo mejor que sus pares globales en la industria o si lo están haciendo peor", observó. "Si lo están haciendo peor, debería ser una alarma para ellos".
Basado en el artículo de John P. Mello Jr (CSO) y editado por CIO Perú