Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Informe
de inteligencia
de vulnerabilidades
Contenido
Resumen 03 Vulnerabilidades
de alto perfil 32
Puntos importantes 04
Cronología de vulnerabilidades 33
Introducción 05
Contribuyentes 36
Investigación principal 36
El estado de las Expertos en la materia 36
vulnerabilidades 06
Tendencias de
Anexo 37
revelación de vulnerabilidades 06
Puntos importantes 06 Calificaciones de gravedad de CVSS 37
vulnerabilidades 16
Conclusiones 19
Vulnerabilidades de navegadores web Notas finales 39
y aplicaciones 20
Puntos importantes 20
Vulnerabilidades de navegadores web 21
Gráfico de las 10 principales vulnerabilidades
de navegadores web 23
Vulnerabilidades de aplicaciones 26
Gráfico de las 10 principales
vulnerabilidades de aplicaciones 30
• Se publicaron 15.038 vulnerabilidades nuevas en 2017 como CVE3 en comparación con 9837 de 2016,
lo que representa un aumento del 53 %.
• El primer semestre de 2018 muestra un aumento del 27 % en comparación con el primer semestre
de 2017. Se prevén entre 18.000 y 19.000 nuevas vulnerabilidades este año.
La priorización solo en función de la gravedad o explotabilidad alta es cada vez más ineficaz debido al
volumen total:
• El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior.
• Para las vulnerabilidades donde haya disponibles calificaciones CVSS de versión 2 y 3, y sea
posible una comparación (principalmente después de 2016), CVSSv3 califica a la mayoría de las
vulnerabilidades como altas o críticas (CVSSv2 31 % frente a CVSSv3 60 %).
• La población activa (22.625) de distintas vulnerabilidades que realmente reside en entornos
empresariales representa el 23 % de todas las CVE posibles (107.710).
• Casi dos tercios (el 61 %) de las vulnerabilidades que las empresas encuentran en sus entornos
tienen una gravedad CVSSv2 alta (entre 7 y 10).
• Se descubrieron cantidades considerables de antiguas vulnerabilidades de Oracle Java, Adobe Flash,
Microsoft IE y Office en entornos empresariales (algunas con una antigüedad superior a una década).
Hay aplicaciones antiguas, descontinuadas y fuera de uso circulando libremente, y las aplicaciones
heredadas siguen siendo una fuente importante de riesgo residual.
PUNTOS IMPORTANTES
• Se revelaron 15.038 vulnerabilidades nuevas, en comparación con 9837 en 2016, lo que representa un
aumento del 53 %.
• Había exploits públicas disponibles para el 7 % de todas las vulnerabilidades reveladas.
• El 54 % de las nuevas CVE de 2017 se calificaron como CVSSv3 7 (Alta) o superior.
• Se proyectan entre 18.000 y 19.000 vulnerabilidades nuevas para 2018, con una tasa de crecimiento
actual del 27 %en comparación con 2017.
• CVSSv2 califica al 31 % de las CVE como de gravedad Alta, en comparación con el 60 % con
gravedad Alta o Crítica en virtud de CVSSv3.
CVSS no tiene suficiente granularidad, como medida de priorización en volumen y escala, para diferenciar
entre grados de criticidad.
14000 35%
12000 30%
10000 25%
8000 20%
6000 15%
4000 10%
2000 5%
0 0%
Figura 1. CVE publicadas en la NVD frente a las
2010 2011 2012 2013 2014 2015 2016 2017
CVE reveladas públicamente en realidad
En el primer semestre de 2018, se publicaron 5314 CVE, en comparación con las 4189 en el primer semestre de 2017, lo que representa
un aumento del 27 %. Al ritmo actual, estamos encaminados a tener más de 18.000 a 19.000 vulnerabilidades nuevas para 2018.
Consulte el resumen en la Figura 2.
Crecimiento actual en el primer semestre
Crecimiento en 2017 frente al Proyección de CVE para 2018
CVE 2017 crecimiento de 2016
de 2018 en comparación con el
primer semestre de 2017
14000 Explotabilidad
20%
12000
Mientras tanto, se proyecta que la
10000
15%
proporción de CVE con un exploit disponible
8000 públicamente alcance el 8 % en 2018, lo que
6000 10% refleja un punto porcentual más que en 2017.
Conforme a las proyecciones actuales, se
4000
5% publicarán más de 1500 vulnerabilidades
2000 explotables en 2018, o un poco más de 28
0 0% vulnerabilidades explotables por semana.
2010 2011 2012 2013 2014 2015 2016 2017 2018
(A LA FECHA)
Total Exploit disponible % explotable
35%
Hay muy pocas calificaciones de CVSSv3 12000
30%
disponibles para vulnerabilidades antes de 2016; 10000
25 %
es por ello por lo que nuestros análisis históricos 8000
20%
se centran en CVSSv2. Lo que se destaca en el
6000
gráfico que aparece a la derecha (Figura 4) es 15%
4000
que, si bien hay un aumento correspondiente 10%
En el caso de las vulnerabilidades más nuevas, podemos comparar directamente la distribución de CVSSv2 con la de CVSSv3. Algo
que se debe considerar es que CVSSv3 designa una gravedad Crítica para calificaciones de 9 a 10, mientras que CVSSv2 asigna a
cualquier calificación entre 7 y 10 una gravedad Alta.
Cuando comparamos la distribución de las gravedades de CVSSv3 entre el primer semestre de 2017 y el primer semestre de 2018,
vemos que las vulnerabilidades de gravedad crítica conformaban el 15 % de todas las vulnerabilidades reveladas, lo que arroja
un aumento del 12 % en el primer semestre de 2017. Si se mantiene la tendencia actual, veremos más de 900 vulnerabilidades de
gravedad Crítica para fines de 2018.
2017 2018
Media
Alta
Crítica
NINGUNA
CVE en general: reclasificación de CVSSv2 a CVSSv3 0%
16000
ALTA BAJA
31% 10%
14000
12000 CVSSv2
10000
MEDIA
8000 59%
NINGUNA BAJA
6000 0% 2%
4000 CRÍTICA
16%
2000 MEDIA
CVSSv3
38%
0
Ninguna Baja Media Alta Crítica
ALTA
CVSSv2 CVSSv3 44%
Figura 6. CVE en general: CVSSv2 en comparación con la clasificación CVSSv3 Figura 7. CVE en general: distribuciones de
gravedad de CVSS
Entonces, ¿por qué somos testigos de este cambio? Un motivo es que, en virtud de CVSSv2, la evaluación de impacto se centra
en el impacto en el sistema operativo. Pero, en función de CVSSv3, el impacto considera el componente vulnerable y otros
componentes afectados, y evalúa cuál es el más grave. Otra modificación que probablemente provocó este cambio fue la
eliminación de la complejidad de ataque media, lo que genera que muchas vulnerabilidades se desplacen hacia una complejidad
de ataque baja.
El cambio de CVSSv2 a CVSSv3 tiene un impacto importante en la distribución de las gravedades de las CVE. Los dos sistemas
brindan clasificaciones opuestas, y CVSSv3 califica a la mayoría de las vulnerabilidades como Altas y Críticas (el 60 % en CVSSv3
en comparación con el 31 % en CVSSv2). CVSS es lamentablemente inadecuada como medida de priorización, ya que no tiene
suficiente granularidad y una perspectiva más amplia para diferenciar entre grados de criticidad.
“
Para agregar perspectiva real a los datos, Tenable Research realizó Creo que hubo un aumento del 14 %
entrevistas con profesionales de la seguridad a nivel de gerente y analista
sobre la estrategia y la práctica de la gestión de vulnerabilidades. Los
en comparación con el año pasado.
conocimientos clave adquiridos de estas entrevistas se incluyen a lo largo Estamos hablando de aproximadamente
de este informe.
200.000 vulnerabilidades.
Debido a que los entrevistados ponen en práctica la gestión de vulnerabilidades a diario, no hablaron mucho sobre el volumen
de vulnerabilidades que enfrentan en la actualidad. Para ellos, la mitigación de las vulnerabilidades es un hecho.
“
La gestión de vulnerabilidades nunca termina. Es un viaje. Siempre será algo. Y si alguna vez deja de llevarla
a cabo, estará expuesto a niveles inimaginables de riesgo. Así que es... solo un proceso realmente [...] No
puede poner un proyecto a su alrededor. Es decir, puede hacer un proyecto de implementación, pero nunca
terminará con las vulnerabilidades. No puede ponerle una fecha de finalización.
“
En cambio, estos profesionales de la seguridad reflexionaron sobre el Los puntajes de CVSS serían útiles
trabajo necesario para segmentar y priorizar las vulnerabilidades de una
manera útil. Debido a la gran cantidad de vulnerabilidades reveladas y
si supone que todos los activos son
a la naturaleza de los puntajes de CVSS, la mayoría de los participantes iguales, pero no lo son. Por lo tanto,
elaboraron algún tipo de calificación personalizada para priorizar las
en realidad, no los usamos.
vulnerabilidades en los sistemas de sus organizaciones.
“
Por lo general, los participantes Después del año pasado, no hay mucho que pueda sorprenderme. Fue un año
se esforzaron por pensar
en tendencias nuevas de
difícil entre WannaCry, NotPetya, todo el ransomware y lo que sucedió. Por
vulnerabilidades para 2018. suerte, la mayor parte de este año ha sido bastante tranquila. 2017 siempre
Algunos incluso reflexionaron
será el año que tomaré como referencia para las comparaciones, al menos,
sobre que 2018 sería un año
relativamente estándar en por ahora. Estoy seguro de que vendrá otro año.
comparación con los anteriores.
“
Un entrevistado comentó Están buscando en áreas nuevas que nadie nunca evaluó. Están encontrando
que investigadores y
atacantes podrían estar
grandes cantidades de vulnerabilidades de larga data porque nadie nunca
“profundizando” la búsqueda había buscado en esos lugares. Specter y Meltdown son ejemplos de eso. Y creo
de vulnerabilidades.
que veremos cuestiones similares en el futuro [...] La gente se está quedando
sin secuencias de comandos entre sitios en donde buscar y está empezando a
analizar otros lugares.
“
Una tendencia de Creo que la minería de criptomonedas se está apoderando de las tendencias
vulnerabilidades que algunos
participantes señalaron
de ataque, y, en algunos casos, de manera rápida. Eso es lo que notamos a
fueron las operaciones de finales del año pasado. Y provenía de dos vectores. De forma sorpresiva, uno
minería de criptomonedas,
de los vectores era WebLogic [...] Históricamente, no era algo que ocupara un
específicamente aquellas que
explotan las vulnerabilidades lugar destacado en nuestra lista cuando realizábamos escaneos.
de Oracle WebLogic.
Si queremos hacer una analogía, los detalles de las CVE y la NVD son similares a
describir una nueva enfermedad. Indican cómo se llama la enfermedad, cómo se
evidencia, cómo infecta o “explota” a un huésped y sus síntomas. Sin embargo, no
informan sobre cuántas personas son potencialmente vulnerables o se ven afectada por
la enfermedad. Si bien el análisis de las tendencias generales sobre vulnerabilidades
nuevas e históricas es útil para comprender cómo evolucionan las vulnerabilidades en
sí mismas, usted debe buscar datos de telemetría reales para realmente entender qué
vulnerabilidades están presentes en los entornos empresariales y representan el mayor
y real riesgo.
Casi dos tercios (el 61 %) de las vulnerabilidades que las empresas encuentran en sus entornos
tienen una gravedad Alta (CVSSv2 entre 7 y 10).
• Algunos proveedores, como las distribuciones de Linux, como Red Hat, Oracle y Novell SUSE, ocupan
los primeros puestos en la cantidad de CVE distintas que circulan libremente, pero su impacto en
términos de organizaciones o activos afectados es bajo. Estos representan un riesgo local: alto e
importante para la organización afectada, pero no así indefectiblemente para la mayor parte de la
población mundial de Internet.
• Otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad
comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas
y activos. Estos representan un riesgo global, ya que afectan a una cantidad importante de empresas
y activos en todo el mundo.
Las vulnerabilidades de Microsoft y Adobe Flash son las más destacadas en las 20 principales
vulnerabilidades en función del porcentaje de empresas afectadas. (Consulte el Gráfico de las 20 principales
vulnerabilidades).
El 27 % de las empresas aún detectan servicios que utilizan las versiones inseguras SSLv2 y SSLv3.
En el gráfico que aparece a continuación, se puede ver la distribución de la gravedad en todo el conjunto de datos (vea la
Figura 8). El gráfico muestra el recuento y las distribuciones de CVE únicas detectadas en los entornos empresariales desde
marzo hasta agosto de 2018.
MEDIA
Cisco
36%
Apple
Apache Foundation
Adobe
BAJA ALTA
Mozilla Firefox 3% 61%
IBM
Debian Linux
CentOS Linux
Oracle Linux
La cantidad de CVE distintas detectadas en Red Hat Enterprise Linux es la más alta por mucho y las distribuciones de Linux
generalmente dominan los niveles superiores. A primera vista, esto puede indicar que Linux es, por lo general, menos seguro.
Pero debemos tener en cuenta que, en el caso de las distribuciones de Linux, se suman vulnerabilidades del sistema operativo
central y de aplicaciones de terceros. Si quisiéramos una visión comparable para Microsoft Windows, tendríamos que tener en
cuenta las aplicaciones de Microsoft y los grupos de sistema operativo de Microsoft en conjunto. También debemos pensar que
estos datos solo tienen en cuenta el recuento de distintas vulnerabilidades detectadas, no el recuento de activos o empresas
afectados.
También es notable que el 61 % de las CVE se calificaron con un CVSSv2 de gravedad Alta.
Apache Foundation
Cisco
Apple
Adobe
Fedora
Baja y Media Alta
Oracle
Figura 10. Distribución de CVE por gravedad
Mozilla Firefox
Aplicaciones de Microsoft
Debian Linux
CentOS Linux
Oracle Linux
Los análisis antes mencionados se centraron en el recuento de distintas CVE y su distribución por proveedor. Esto brinda algo
de información sobre la vulnerabilidad, y el perfil de riesgo resultante, de diferentes proveedores. También destaca cómo la
priorización puede ser más desafiante cuando se trata de algunas tecnologías en comparación con otras. Para ver cuánto riesgo
representa una CVE determinada en la población general de la empresa, debemos observar cuántas empresas se ven realmente
afectadas por esa CVE. El gráfico que aparece a continuación (vea la Figura 12) muestra la cantidad máxima de empresas y
activos afectados en un solo día de escaneo para los mismos proveedores mencionados arriba. Esto muestra con claridad que
un número alto de vulnerabilidades, (por ejemplo, en Red Hat p SUSE Linux) no necesariamente equivale a un número alto de
empresas o activos afectados.
Una cantidad elevada de distintas vulnerabilidades de gravedad Alta en uno o pocos activos representa un riesgo local alto. Una
cantidad baja de distintas vulnerabilidades de gravedad Alta en una gran número y variedad de activos representa un riesgo
global alto. Básicamente, esta es una medida de la densidad de la vulnerabilidad de activos frente a la prevalencia de una
vulnerabilidad en la empresa.
Adobe Debian
220K
Fedora
Mozilla
200K
Google Google
Sistema operativo
de Microsoft HPE
180K
IBM
Aplicaci
160K
Sistema
Novell S
140K Oracle
Oracle L
120K Red Hat
Ubuntu
100K
80K
60K
IBM
20K
Ubuntu Linux Apple
CentOS Linux
0K Apache Foundation
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% 22% 24% 26% 28% 30% 32% 34%
% de empresas afectadas
% máximo dedeempresas
% máximo encomparación
empresas en comparaciónconcon el recuento
el recuento máx.
máx. de de activos
activos. El color promedio. El color
muestra detalles muestra
sobre detalles
CPE (grupo). sobreseCPE
Las marcas (grupo).
etiquetan porLas
CPEmarcas
(grupo) se etiquetan po
Cpe (Grupo)
PRINCIPALES VULNERABILIDADES
A continuación, detallamos las 20 principales vulnerabilidades que se encuentran en entornos empresariales.
Siempre que sea posible, brindamos una CVE para ayudar a identificar la vulnerabilidad. Nota: Debido a la forma en que las
vulnerabilidades y las CVE se agregan en los parches y las actualizaciones de proveedores, una única firma de vulnerabilidades
puede detectar varias vulnerabilidades, con diversas gravedades diferentes. Como la actualización aplica varios parches, los
activos afectados serán vulnerables a todos ellos si la actualización no se ha aplicado. Esto significa que algunas CVE, aunque
diferentes y con diferentes gravedades, comparten las mismas métricas de prevalencia. En estos casos, hemos seleccionado la
vulnerabilidad con la gravedad más alta. Si había varias vulnerabilidades que compartían la misma gravedad, seleccionamos una
vulnerabilidad representativa.
1
CVE CVE-2018-8202 GRUPO Aplicaciones de Microsoft
Existe una elevación de la vulnerabilidad de privilegios en .NET Framework que podría permitir
a un atacante elevar su nivel de privilegios (también se conoce como “.NET Framework Elevation
of Privilege Vulnerability” [Elevación de la vulnerabilidad de privilegios en .NET Framework]).
32 %
2
CVE CVE-2018-6153 GRUPO Google Chrome
Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado
por la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para
que visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y
30 %
ejecutar un código arbitrario en el sistema o provocar que la aplicación se bloquee.
3
CVE CVE-2015-6136 GRUPO Microsoft IE
Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los
atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado
específicamente (también se conoce como “Scripting Engine Memory Corruption Vulnerability”
28 %
[Vulnerabilidad de corrupción de memoria en el motor de scripting]).
4
CVE CVE-2018-2938 GRUPO Oracle Java
Un usuario remoto puede aprovechar una falla en el componente Java SE Java DB para obtener
mayores privilegios. 28 %
5
CVE CVE-2018-1039 GRUPO Aplicaciones Microsoft
Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que podría
permitir a un atacante eludir a Device Guard (también se conoce como “.NET Framework Device
Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de la función de
28 %
seguridad Device Guard en .NET Framework]).
7
CVE CVE-2018-6130 GRUPO Google Chrome
Acceso de Google Chrome a la memoria fuera de límites en WebRTC.
26 %
8
CVE CVE-2018-8242 GRUPO Microsoft IE
Existe una vulnerabilidad de ejecución de código remoto en la forma en que el motor de
scripting maneja objetos en memoria en Internet Explorer (también se conoce como 26 %
“Scripting Engine Memory Corruption Vulnerability” [Vulnerabilidad de corrupción de
memoria en el motor de scripting]). Esto afecta a Internet Explorer 9 a 11.
9
CVE CVE-2017-8517 GRUPO Microsoft IE
25 %
Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto
del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la
memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory
Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).
10
CVE CVE-2018-5007 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de
confusión de tipo. La explotación exitosa podría generar la ejecución de un código 25 %
arbitrario en el contexto del usuario actual.
11
CVE CVE-2018-8249, CVE-2018-0978 GRUPO Microsoft IE
Existe una vulnerabilidad de ejecución de código remoto cuando Internet Explorer accede, de
forma incorrecta, a objetos en la memoria (también se conoce como “Internet Explorer Memory 24 %
Corruption Vulnerability” [Vulnerabilidad de corrupción de memoria en Internet Explorer]).
12
CVE CVE-2018-8310 GRUPO Aplicaciones Microsoft
23 %
Existe una vulnerabilidad de manipulación indebida cuando Microsoft Outlook no maneja
correctamente los tipos de adjuntos específicos al mandar datos de correos electrónicos
HTML (también se conoce como “Microsoft Office Tampering Vulnerability” [Vulnerabilidad
de manipulación indebida de Microsoft Office]). Afecta a Microsoft Word, Microsoft Office.
13
CVE CVE-2018-5002 GRUPO Adobe Flash
23 %
Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de
desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría
generar la ejecución de un código arbitrario en el contexto del usuario actual.
15
CVE CVE-2018-2814 GRUPO Oracle Java
Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente:
HotSpot). Los ataques exitosos de esta vulnerabilidad pueden provocar la toma de control de 23 %
Java SE.
16
CVE CVE-2018-5008 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de lectura
fuera de límite. La explotación exitosa podría generar la revelación de información. 23 %
17
CVE CVE-2017-11215 GRUPO Adobe Flash
Se detectó un problema en Adobe Flash Player 27.0.0.183 y versiones anteriores. Esta vulnerabilidad es una
instancia de un uso después de una vulnerabilidad libre en Primetime SDK, que podría provocar corrupción del 22 %
código, un secuestro del flujo de control o un ataque que causaría la fuga de información. La explotación exitosa
podría generar la ejecución de un código arbitrario.
18
CVE NINGUNA GRUPO Mozilla Firefox
Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird o
SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con mantenimiento 22 %
activo. La falta de soporte supone que el proveedor no lanzará nuevos parches de seguridad para el
producto. En consecuencia, es probable que contenga vulnerabilidades de seguridad.
19
CVE CVE-2015-0008 GRUPO Microsoft OS
Una vulnerabilidad en la ruta de búsqueda no confiable en la biblioteca MFC en Microsoft Visual Studio .NET
permite a los usuarios locales obtener privilegios a través de un archivo troyano dwmapi.dll en el directorio de 22 %
trabajo actual durante la ejecución de una aplicación MFC como AtlTraceTool8.exe (también se conoce como
"ATL MFC Trace Tool").
20
CVE CVE-2018-4944 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 29.0.0.140 y anteriores tienen una vulnerabilidad de
confusión de tipo explotable. La explotación exitosa podría generar la ejecución de un 22 %
código arbitrario en el contexto del usuario actual.
Figura 13. Gráfico de las 20 principales vulnerabilidades (el porcentaje se basa en las empresas afectadas)
En promedio, una empresa encuentra 870 CVE en 960 activos por día.18 Esto significa que las metodologías de priorización en
función de la reparación de estas CVE de gravedad Alta aún dejan a la empresa promedio con más de 548 vulnerabilidades por
día para evaluar y priorizar, a menudo, en varios sistemas.
También fue interesante ver la diferencia entre el riesgo local y el riesgo global. Algunos proveedores, como las distribuciones
de Linux, como Red Hat, Oracle y Novell SUSE, ocupan los primeros puestos en la cantidad de CVE distintas presentes en una
empresa, pero su impacto en términos de cuántas organizaciones se ven afectadas es bajo. Estos representan un riesgo local:
alto para la organización afectada, pero no así indefectiblemente para la mayor parte de la población mundial de Internet. Por
supuesto, este riesgo sigue dependiendo de la función y del contexto precisos del activo.
También vimos que otros proveedores, como Microsoft (.NET y Office), Adobe (Flash) y Oracle (Java), tienen una cantidad
comparativamente baja de vulnerabilidades distintas, pero afectan a una gran cantidad de empresas y activos. Estos
representan un riesgo global, ya que afectan a una cantidad importante de empresas y activos en todo el mundo.
“
Conocimientos adquiridos del campo
Como mencionamos en la sección anterior, cada participante en la entrevista Si algún problema está abierto
tenía algún tipo de protocolo estándar para priorizar la reparación de
vulnerabilidades, por lo general, una combinación de puntaje CVSS y datos
durante más de 30 días, el personal
contextuales sobre activos y configuración. También analizaron los estándares comenzará a recibir llamadas
para las tareas de colocación de parches y reparación dentro de sus y mucha atención.
organizaciones. Todos tenían algún tipo de fecha límite inamovible para reparar
todas las vulnerabilidades, una cantidad máxima de tiempo en el que se debería
permitir que una vulnerabilidad subsista en un sistema sin que se la mitigue.
“
En el caso de las vulnerabilidades críticas, hacemos parches dentro de los 30 días. Si es una vulnerabilidad
Crítica que es muy explotable y esta abierta a Internet, el plazo es de siete días. Esto significa que si detecta
una vulnerabilidad Struts 2 u otra de las que acaban de publicarse, usted tiene que repararla de inmediato.
En el caso de una vulnerabilidad Alta, el plazo es de 60 días; en el caso de una vulnerabilidad Media, es de
90 días, y, en el caso de una vulnerabilidad Baja, es de 120 días.
“
Esto no necesariamente es congruente Si hay algo que no se resuelve en ese plazo, necesitamos que los
con nuestros datos que muestran
muchas vulnerabilidades antiguas
propietarios (el propietario del sistema, el propietario del producto,
que continúan existiendo en las redes, no necesariamente el propietario de la infraestructura) completen
algunas de las cuales se remontan
un formulario de excepción de riesgo que es un proceso muy
a más de una década y que todavía
se encuentran en las redes. Parte problemático porque tienen que justificarlo ante muchas personas
de esta discrepancia puede deberse que validan el motivo por el cual se requiere la excepción.
a excepciones internas también
mencionadas por varios entrevistados.
“
Para mí, es conocer lo desconocido. Siempre me pregunto: ¿hemos escaneado
y hemos tenido en cuenta todo?
Además, la evaluación de estos tipos de vulnerabilidades exige un escaneo con agente o autenticado y con credenciales, ya que
esto requiere acceso al sistema local. Estos factores hacen que las vulnerabilidades de navegadores web y de aplicaciones sean
un área de enfoque intrigante.
PUNTOS IMPORTANTES
Oracle Java muestra un fenómeno similar, ya que se detectaron muchas vulnerabilidades concentradas
en los años 2011 a 2017. Las instalaciones de Java heredadas siguen siendo una causa principal de las
vulnerabilidades persistentes.
Adobe Flash continúa esta tendencia, a pesar de que el contenido web activo de Flash ha disminuido
notablemente, y Adobe planea suspender el soporte en 2020.
Hay aplicaciones antiguas, discontinuadas y al final de su vida útil todavía disponibles en entornos
empresariales. Las aplicaciones heredadas son una fuente importante de riesgo residual.
• La aplicación de ingeniería social para que el usuario navegue a un sitio web malicioso o abra un archivo o script malicioso
que luego explota el navegador web vulnerable.
• La vulneración de un sitio web legítimo para implementar contenido malicioso que explota el navegador web
vulnerable de la víctima.
Entre los límites fortalecidos y la creciente adopción de tecnologías en la nube, el ataque del usuario suele ser el punto
de entrada más eficaz a una empresa. En el caso de los usuarios domésticos, es la única forma. El robo de credenciales
financieras y de identidad, los botnets, la minería de criptomonedas, el ransomware, el espionaje y la extorsión cibernética
son todas actividades delictivas asociadas a estos tipos de ataques.
ANÁLISIS
Nuestro conjunto de datos incluyó 1065 CVE de navegadores web únicas en cinco proveedores principales detectadas desde
marzo hasta agosto de 2018.
Distribución de CVE Altas en comparación con CVE totales
• Apple Safari
• Google Chrome
• Microsoft Edge GRAVEDAD
GRAVEDAD ALTA
• Microsoft Internet Explorer (IE) BAJA Y MEDIA
63%
• Mozilla Firefox 37%
675 de las
1065 (el 63 %) Gravedad baja y media CVE de gravedad alta
CVE de navegadores web detectadas
tenían una gravedad Alta.
Figura 14. Distribución de CVE de gravedad Alta en comparación con CVE totales de todas las gravedades
Mozilla Firefox
Google Chrome
Microsoft Edge
62 % Gravedad
alta
53 %
Gravedad
alta
Con solo el 10,79 % de participación en el mercado de su navegador, Firefox representa el 53 % de todas las vulnerabilidades
de gravedad Alta. Esta discrepancia se puede explicar parcialmente cuando examinamos los años de publicación de las CVE
detectadas. Aunque Firefox se ha visto reemplazado lentamente por Google Chrome como el navegador líder, parece que hay
muchas versiones más antiguas e inactivas circulando libremente. Las vulnerabilidades de Firefox no se reparan.
CPE (Grupo) 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Apple Safari 4 4 4 4 4 4 4 5 4 4 2 6 6 7 4 3
Mozilla Firefox 32 5 6 7 8 12 32 19 19 34 32 40 51 40 37 18
5 5 5 5 5 5 5 18 21 19 5 15 28 21 16 10%
Google Chrome
4 12 1.
Microsoft Edge
1. 2 4 1. 8 6 6 6 8 8 14 12 12 12 9 6
Microsoft IE
Recuento único de CVE
1 51 Figura 17. CVE de navegadores web de gravedad Crítica y Alta predominantes por año de publicación
PRINCIPALES VULNERABILIDADES
DE NAVEGADORES WEB
A continuación, detallamos las 10 principales vulnerabilidades de navegadores web para entornos empresariales.
1
CVE CVE-2018-6153 GRUPO Google Chrome
Google Chrome es vulnerable a un desbordamiento del búfer de pilas (estructura de datos), causado por
la verificación de límites inadecuada llevada a cabo por Skia. Tras persuadir a una víctima para que 30 %
visite un sitio web diseñado especialmente, un atacante remoto podría desbordar un búfer y ejecutar un
código arbitrario en el sistema o provocar que la aplicación se bloquee.
2
CVE CVE-2015-6136 GRUPO Microsoft IE
Los motores Microsoft VBScript de Internet Explorer 8 a 11 y otros productos permiten a los
atacantes remotos ejecutar un código arbitrario a través de un sitio web diseñado 28 %
específicamente (también se conoce como “Scripting Engine Memory Corruption
Vulnerability” [Vulnerabilidad de corrupción de memoria en el motor de scripting]).
3
CVE CVE-2018-6130 GRUPO Google Chrome
Acceso de Google Chrome a la memoria fuera de límites en WebRTC.
26 %
4
CVE CVE-2017-8517 GRUPO Microsoft IE
Los navegadores de Microsoft permiten que un atacante ejecute un código arbitrario en el contexto
del usuario actual cuando no se pueden ejecutar los motores de JavaScript al manejar objetos en la 25 %
memoria de los navegadores de Microsoft (también se conoce como "Scripting Engine Memory
Corruption Vulnerability" [Vulnerabilidad de corrupción de memoria del motor de scripting]).
5
CVE NINGUNA GRUPO Mozilla Firefox
Según su versión, hay, al menos, una aplicación Mozilla sin soporte técnico (Firefox, Thunderbird
o SeaMonkey) instalada en el host remoto. Esta versión del software ya no cuenta con
mantenimiento activo. La falta de soporte supone que el proveedor no lanzará nuevos parches 22 %
de seguridad para el producto. En consecuencia, es probable que contenga vulnerabilidades de
seguridad.
7
CVE CVE-2018-6085, CVE-2018-6086 GRUPO Google Chrome
Dos vulnerabilidades críticas de uso después de la liberación en memoria caché de disco de
Google Chrome en hosts de Windows. 20 %
8
CVE CVE-2018-5150, CVE-2018-5151, GRUPO Mozilla Firefox
CVE-2018-5154, CVE-2018-5155,
CVE-2018-5159
Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y uso después
18 %
de liberarse, lo que permite la ejecución de código remoto.
9
CVE CVE-2018-5126, CVE-2018-5128 GRUPO Mozilla Firefox
Varias vulnerabilidades de Mozilla Firefox, que incluyen corrupción de memoria y permiten la
ejecución de código arbitrario y una vulnerabilidad de uso después de la liberación. 17 %
Figura 18. Las 10 principales vulnerabilidades de navegadores web (el porcentaje se basa en las empresas afectadas)
“
notablemente en los últimos años. Los líderes del pasado, como Firefox
campo
e Internet Explorer, ahora están muy por detrás de Google Chrome.
Lamentablemente, las vulnerabilidades en estos navegadores no han
El motivo más común que he
seguido la misma disminución, ya que existen versiones sin soporte y
heredadas en un número considerable de empresas. Lo interesante es la observado es que se trata de
antigüedad de muchas de estas vulnerabilidades, ya que los actores de sistemas antiguos, que tienen
amenazas, especialmente los desarrolladores de kit del exploit, aún están
apuntando activamente a ellas. que estar disponibles o que
simplemente no se pueden retirar
Firefox domina la lista de CVE más predominantes, ya que representa
porque todavía tienen alguna
el 53 % de todas las vulnerabilidades de gravedad alta con solo una
participación en el mercado de aproximadamente el 10 %. La gran mayoría funcionalidad de producción
de estas CVE tienen entre dos y ocho años, con algunas pocas excepciones crítica.
que se remontan a 2004.
Aunque con una prevalencia más baja del 14 %, Microsoft IE aún evidencia
vulnerabilidades de manera desproporcionada respecto de su participación
en el mercado, e incluso, en empresas que solo utilizan Microsoft, está
siendo desplazado por Edge. Muchas de las vulnerabilidades de IE
detectadas entre marzo y agosto de 2018 también tienen mucha antigüedad,
y, en algunos casos, se remontan a la última década.
Las ocho principales CVE de navegadores web afectaron a más del 20 % de
las empresas en un solo día de evaluación, con un máximo del 30 %. Eso
representa una cantidad importante de organizaciones con vulnerabilidades
de navegadores web de gravedad Alta en su población de activos.
25
Informe de INTELIGENCIA DE VULNERABILIDADES
VULNERABILIDADES DE APLICACIONES
Las vulnerabilidades de aplicaciones representan otro conjunto de CVE activamente blanco de los actores de amenazas que
circulan libremente en diversos ataques, que van desde la ejecución por explotación y la piratería de criptomonedas hasta la
suplantación de identidad (phishing).
Estas vulnerabilidades mayoritariamente se encuentran en estaciones de trabajo de usuarios finales y de clientes. Debido a que
existe fuerza laboral muy distribuida y móvil que utiliza varias plataformas y sistemas operativos, mantener el control de su
evaluación y reparación de estas vulnerabilidades está plagado de muchos desafíos técnicos.
Debido a la inclusión común de las siguientes aplicaciones en los kits del exploit, ransomware, suplantación de identidad
(phishing) y otros ataques, observamos lo siguiente:
En total, en las cinco aplicaciones, había 704 vulnerabilidades distintas presentes en los entornos empresariales.
Y 609 de las 704 CVE fueron de gravedad Alta.
MEDIA
13%
BAJA
0% Distintas CVE de aplicaciones por gravedad
ALTA
87%
“
Cuando evaluamos todas las CVE detectadas El otro problema es que muchos sistemas críticos están
por las empresas, Microsoft Office se destaca
con una gran cantidad de CVE de gravedad
agrupados en un solo sistema. Aunque tiene 9 de 10 con parches,
Alta y el mayor recuento general en total. hay un servidor web que no puede manejar un nuevo parche de
Oracle Java viene en segundo lugar en general.
Java y todos están atascados.
Cuando agregamos el año de publicación de la vulnerabilidad en el mapa de calor que aparece a continuación, podemos ver
claramente que muchas CVE de Oracle Java tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto
se parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con
versiones heredadas que no se han actualizado ni eliminado.
CPE (Grupo) 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
Adobe Flash 2 4 1. 3 3 2 3 5 12 15 13 16 21 12 12 7
Adobe PDF 32 5 6 4 3 3 11 8 11 5 6 7 3 8 4 3
Microsoft .NET 5 5 5 5 1. 5 5 4 3 5 7 6 6 7
Microsoft Office 1. 2 3 14 10% 20 12 33 18 16 23 16 26 25 34 24
Oracle Java 1. 1. 1. 9 9 6 7 14 12 66 20 32 26 35 12
1 66 Figura 23. Mapa de calor: vulnerabilidades en entornos empresariales por fecha de publicación
Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber,
al menos, una correlación superficial con las versiones de Microsoft Office,19, con concentraciones en 2006, 2010 y 2013, y un
aumento visible en las vulnerabilidades a partir de 2016.
Lo que es preocupante es que todavía existe una cantidad considerable de vulnerabilidades en los entornos que se
remontan a 2006.
Las metodologías de priorización más comunes fallarán en esa proporción. En realidad, la solución aquí no es realizar un
parchado. Por el contrario, se trata de eliminar versiones no compatibles y heredadas.
Microsoft .NET
Adobe Flash
Oracle Java
Adobe PDF
ALTA ALTA ALTA ALTA ALTA
242 172 116 65 21
% ALTA % ALTA % ALTA % ALTA % ALTA
89% 82% 93% 94% 57%
Al factorizar las empresas y los activos que realmente se ven afectados por las 10 principales vulnerabilidades de aplicaciones
más predominantes, en realidad, observamos que Microsoft .NET, Oracle Java y Adobe Flash son objeto del impacto más generalizado
(vea la Figura 25).
Microsoft .NET
Crítica
260K Alta
Oracle Java
240K
Adobe Flash
220K
Recuento máx. de activos promedio
200K
180K
160K
Microsoft Office
140K Microsoft .NET
120K
% de empresas en comparación con el
Adobe Flash recuento máximo de activos promedio.
100K El color, el tamaño y la forma muestran
Adobe PDF detalles sobre el factor de riesgo. Las
80K marcas se etiquetan por CPE (grupo)
El contexto se filtra en CPE (grupo),
Adobe PDF que mantiene Adobe Flash, Adobe
60K
PDF, Microsoft. NET, Microsoft Office
y Oracle Java. La vista se filtra por
40K el factor de riesgo, que conserva las
Microsoft Office vulnerabilidades de gravedad Crítica
20K y Alta.
0K
Figura 25. Impacto de prevalencia por
0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% 22% 24% 26% 28% 30% 32% 34% tipo de aplicación
% de empresas
Exploits disponibles
FALSO FALSO FALSO FALSO FALSO
21% 6% 59% 38% 53%
VERDADERO VERDADERO VERDADERO VERDADERO VERDADERO
79% 94% 41% 62% 47%
Adobe Flash Adobe PDF Microsoft .NET Microsoft Office Oracle Java
Exploit disponible Exploit disponible Exploit disponible Exploit disponible Exploit disponible
Como se muestra en el gráfico que aparece a continuación (Figura 27), existen exploits públicos disponibles para casi todas las
actualizaciones de seguridad de Adobe Flash que las empresas detectan como faltantes en sus entornos. Si tenemos en cuenta
que el contenido habilitado para Flash en Internet ha disminuido considerablemente20 y ya no tendrá soporte a partir de 2020, casi
no vale la pena tener Flash instalado. Sin embargo, representa un enorme riesgo residual.
25
20
15
10%
0
2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
PRINCIPALES VULNERABILIDADES
DE APLICACIONES
A continuación, detallamos las 10 principales vulnerabilidades de aplicaciones para entornos empresariales.
1
CVE CVE-2018-8284 GRUPO Microsoft .NET
Existe una vulnerabilidad de ejecución de código remoto cuando Microsoft .NET Framework no
puede validar la entrada correctamente (también se conoce como “.NET Framework Remote
32 %
Code Injection Vulnerability” [Vulnerabilidad de inyección de código remoto en .NET
Framework]).
2
CVE CVE-2018-2938 GRUPO Oracle Java
Vulnerabilidad en el componente incorporado Java SE de Oracle Java SE (subcomponente:
Java DB). Si bien la vulnerabilidad se encuentra en Java SE, los ataques pueden afectar en 28 %
gran medida a otros productos. Los ataques exitosos de esta vulnerabilidad pueden
provocar la toma de control de Java SE.
3
CVE CVE-2018-1039 GRUPO Microsoft .NET
Existe una vulnerabilidad de evasión de la función de seguridad en .NET Framework que
podría permitir a un atacante eludir a Device Guard (también se conoce como “.NET 28 %
Framework Device Guard Security Feature Bypass Vulnerability” [Vulnerabilidad de evasión de
la función de seguridad Device Guard en .NET Framework]).
4
CVE CVE-2018-5002 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 29.0.0.171 y anteriores tienen una vulnerabilidad de
desbordamiento del búfer de pilas (estructura de datos). La explotación exitosa podría
23 %
generar la ejecución de un código arbitrario en el contexto del usuario actual.
5
CVE CVE-2018-5007 GRUPO Adobe Flash
Adobe Flash Player 30.0.0.113 y versiones anteriores tienen una vulnerabilidad de Confusión
de tipo. La explotación exitosa podría generar la ejecución de un código arbitrario en el
23 %
contexto del usuario actual.
7
CVE CVE-2018-8248 GRUPO Microsoft Office
Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Excel cuando no puede
manejar adecuadamente los objetos en la memoria. Un atacante que aprovechó con éxito la vulnerabilidad 21 %
podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con
derechos de usuario administrativo, un atacante podría tomar el control del sistema afectado.
8
CVE CVE-2018-8147, CVE-2018-8148, GRUPO Microsoft Office
CVE-2018-8157, CVE-2018-8158,
CVE-2018-8161
Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Office cuando no
20 %
puede manejar adecuadamente los objetos en la memoria (también se conoce como “Microsoft Office
Remote Code Execution Vulnerability” [Vulnerabilidad de ejecución de código remoto de Microsoft Office]).
9
CVE CVE-2018-4935, CVE-2018-4937 GRUPO Adobe Flash
Adobe Flash Player 29.0.0.113 y versiones anteriores tienen una vulnerabilidad de escritura
fuera de límite explotable. La explotación exitosa podría generar la ejecución de un código
20 %
arbitrario en el contexto del usuario actual.
10
CVE CVE-2018-4919, CVE-2018-4920 GRUPO Adobe Flash
Las versiones de Adobe Flash Player 28.0.0.161 y anteriores tienen una vulnerabilidad de uso
después de liberación y confusión de tipo explotables. La explotación exitosa podría generar la 19 %
ejecución de un código arbitrario en el contexto del usuario actual.
Figura 28. Las 10 principales vulnerabilidades de aplicaciones (el porcentaje se basa en las empresas afectadas)
CONCLUSIONES
Identificamos muchas CVE de Oracle Java que tienen varios años de antigüedad, con concentraciones en 2013, 2015 y 2017. Esto se
parece mucho al fenómeno que vimos en el caso de Firefox en el desglose de vulnerabilidades de navegadores web con versiones
heredadas que no se han actualizado ni eliminado.
Las aplicaciones de Microsoft Office también muestran una gran cantidad de CVE más antiguas detectadas. Parece haber, al
menos, una correlación superficial con las versiones de Microsoft Office, 21 con concentraciones en 2006, 2010 y 2013, y un aumento
visible en las vulnerabilidades a partir de 2016. Lo que es preocupante es que todavía existe una cantidad considerable de
vulnerabilidades en los entornos que se remontan a 2006.
Hay exploits públicos disponibles para el 79 % de las vulnerabilidades de Adobe Flash detectadas en entornos empresariales. En el
caso de Adobe PDF, la cifra es del 96 %. El porcentaje más bajo en el grupo es del 41 %. Existen exploits públicos disponibles para
casi todas las vulnerabilidades de Adobe Flash que las empresas detectan en sus entornos. Si tenemos en cuenta que el contenido
habilitado para Flash en Internet ha disminuido considerablemente22 y ya no tendrá soporte a partir de 2020, casi no vale la pena
tener Flash instalado. Sin embargo, representa un enorme riesgo residual.
32
Informe de INTELIGENCIA DE VULNERABILIDADES
CRONOLOGÍA DE VULNERABILIDADES
A continuación, se muestra una descripción general de los aspectos más destacados hasta agosto de 2018. Puede encontrar los
informes detallados de cada uno de ellos en el Blog de Tenable.
2018RESPUESTAS DE SEGURIDAD
Exploit del día cero del
28 DE AGOSTO
programador de tareas de Windows
Vulnerabilidad de Apache Struts
Circula libremente: se insta a tener cuidado
Una nueva vulnerabilidad en Apache Struts podría
Activado por un tuit de un investigador descontento; permitir la ejecución remota de código
este error de escalación de privilegios fue explotado de
forma rápida mientras circulaba libremente y fue El 22 de agosto, escribimos en el blog sobre otra RCE
aprovechado por malware. Lamentablemente Microsoft remota en Struts. Struts es muy común, es muy difícil
tardó más de dos semanas en solucionar este problema. colocar un parche contra él y ha sido una fuente
22 DE AGOSTO periódica de filtraciones de datos de alto perfil y
artículos noticiosos. Lamentablemente no hay atajos
para la seguridad aquí; ¡el saber qué tiene (exposición
cero) y la colocación de parches disciplinada (Mejores
prácticas) son fundamentales!
Adquisición de la base de datos 15 DE AGOSTO
Oracle JavaJM (base de datos)
Adquisición de base de datos de Oracle
mediante el componente JavaVM
14 DE AGOSTO
Foreshadow (CPU)
Nuevas vulnerabilidades de canal del
lado de ejecución especulativa de Intel
14 DE AGOSTO
Faxsploit (dispositivo)
Ejecución de código remoto a través de
protocolos de fax de HP
31 DE JULIO
Underminer (Malware)
Minería de criptomonedas a través
del nuevo vector EK
Cisco ASA (Cisco)
Cisco ASA/FXOS/NX-OS solucionado con parche 26 DE JUNIO
crítico: ya estaba siendo explotado
8 DE JUNIO
7 DE JUNIO
Falla de Adobe Flash Player (Adobe)
Día cero de Adobe Flash objeto de exploitación
en el Medio Oriente
6 DE JUNIO
Zip Slip (Aplicaciones de Window)
Escritura de archivo
arbitrario con Zip Slip
22 DE MAYO
Variantes de Spectre/Meltdown (CPU)
Spectre/Meltdown II
11 DE MAYO
Vulnerabilidad POP SS/MOV SS (CPU)
Malos entendidos entre
desarrolladores generaron una
vulnerabilidad local de Intel
9 DE MAYO Locura del mes de mayo de Microsoft
(martes de parchado) (Microsoft)
Martes de parchado en el mes de mayo
de 2018 para vulnerabilidades explotadas
Deserialización de 1 DE MAYO
Oracle WebLogic T3 (Oracle)
Error de deserialización de Oracle
WebLogic T3 con parchado incorrecto
27 DE ABRIL
IE Double Kill (Microsoft)
Error Double Kill en Internet Explorer
6 DE ABRIL
RCE de Windows Defender (Microsoft)
El proyecto Cero de Google detecta
vulnerabilidad en Windows Defender
3 DE ABRIL
Cisco IOS POC (Cisco)
Embedi detectó vulnerabilidad
en Cisco Smart Install
29 DE MARZO
Núcleo crítico de Drupal (aplicación de Internet)
RCE no autenticado de Drupal a través de
solicitud de HTTP
28 DE MARZO
Sam Sam Ransomware (Malware)
Descripción general y actualización de Sam Sam Ransomware
“
Al principio, hubo mucho pánico y, luego, empezamos a evaluarlas, al igual que la forma de mitigarlas,
y había mucha confusión. Pasamos mucho tiempo, tuvimos muchas sesiones en grupos pequeños
para abordar el tema de Meltdown y Specter, solo para identificar cuáles eran, en realidad, los
riesgos. Durante un tiempo, ni siquiera se encontró evidencia de código de concepto. [...] En términos
de ejecución de código remoto, no habíamos visto ninguna opción viable todavía. Así que seguimos
aplicando rápidamente actualizaciones de BIOS durante un tiempo.
“
Los profesionales de la seguridad indicaron Escuchan algo en las noticias y piensan: “Ahora me harán
que esta no era la primera o la última vez
que las vulnerabilidades o los incidentes
preguntas en cuanto llegue y no quiero parecer un idiota
que llegaban a los titulares de las noticias porque la división de ciberseguridad está a mi cargo. Así que
los obligaban a ajustar sus programas de
tengo que demostrar que estoy al tanto de las cosas”. Y, a
gestión de vulnerabilidades. Vincularon
estos ajustes a algunas prioridades menudo, no les importa realmente cuál es el problema de
diferentes. En algunos casos, se trataba de seguridad, se reduce a cómo los afecta directamente.
garantizar que el CISO o el CIO estuvieran
preparados para responder las preguntas
de otros ejecutivos, clientes y los medios
de comunicación.
En otros casos, se trataba de garantizar que la organización no se viera sorprendida por un atacante debido al
aprovechamiento de una vulnerabilidad conocida.
“
Cuando aparece algo como Struts 2, tenemos iniciativas empresariales donde nos comunicamos con
todas las unidades de negocios que tienen diferentes recursos, diferentes tecnologías; lo cual hace que
uno se pregunte: “¿Somos susceptibles a esta vulnerabilidad en toda la empresa?”. Debido al tamaño, por
ejemplo, de la nuestra, su descubrimiento es algo para lo cual se necesitan muchos recursos, a menos
que se cuente con un programa implementado que pueda manejar todo esto.
EXPERTOS EN LA MATERIA
Anthony Bettini, Director Sénior de Ingeniería
Rajiv Motwani, Director de Investigación, Detección de Vulnerabilidades
Thomas Parsons, Director Sénior de Gerencia de Productos
Alta 7 - 8,9
Crítica 9 - 10
Empleamos este conjunto de datos para determinar las vulnerabilidades más predominantes.
PREVALENCIA
Calculamos la “prevalencia” en función del número máximo de empresas afectadas en un día de escaneo específico. Seleccionamos
empresas afectadas, en lugar de la cantidad de activos afectados porque queríamos una medida que nos permitiera determinar
cuántas organizaciones tenían que enfrentar una vulnerabilidad. Basar la prevalencia en el recuento de activos afectados
implicaría que inevitablemente algunas tecnologías (por ejemplo, los dispositivos de red o los servidores) no formen parte de la
lista principal. La mayoría de las empresas tienen miles de estaciones de trabajo con Windows, pero solo docenas o cientos de
servidores. Pero casi todas las empresas tienen servidores y estaciones de trabajo en general.
Utilizamos el recuento más elevado en un día de empresas afectadas para obtener una indicación clara de la escala y eliminar la
necesidad de explicar anomalías cuando se trabaja con promedios y vulnerabilidades de diferentes antigüedades.
En el caso de la proporción de empresas afectadas, tenemos un recuento total de empresas (N) de 2100.
Utilizamos datos de telemetría anónimos recopilados de nuestra plataforma Tenable.io® conforme a nuestro acuerdo de
licencia de usuario final (EULA) para investigar tendencias y temas básicos para la ciberseguridad. En nuestra investigación
e informes relacionados, no utilizamos datos de telemetría de otros productos de Tenable, como Nessus® o Tenable.sc™
(anteriormente SecurityCenter).
METODOLOGÍA DE ENTREVISTA
Para agregar una perspectiva real a estos datos, también realizamos 12 entrevistas con profesionales de la seguridad
tanto a nivel de gerente como de analista. Estas conversaciones que duraron una hora se centraron en la estrategia y en la
práctica de la gestión de vulnerabilidades para comprender mejor cómo se elaboraron, en realidad, determinadas “mejores
prácticas”. Las preguntas se centraron en los indicadores clave de rendimiento para la gestión de vulnerabilidades, como la
frecuencia de escaneo y el tiempo de reparación, así como preguntas estratégicas de alto nivel sobre cómo funcionan los
equipos de seguridad dentro de organizaciones complejas. Las entrevistas se analizaron mediante codificación descriptiva
y de patrones. Las categorías iniciales se basaron en temas para el informe.
es-la.tenable.com
11/18 V01
COPYRIGHT 2018 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER, SECURITYCENTER
CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS COMERCIALES REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE CYBER EXPOSURE COMPANY
SON MARCAS COMERCIALES DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS COMERCIALES DE SUS RESPECTIVOS DUEÑOS.