Segundo informe anual sobre el Estado de las Vulnerabilidades de Synack
- El segundo informe anual sobre el Estado de las Vulnerabilidades de Synack revela un aumento de la gravedad y avances en la solución
El informe de 2024 incluye un desglose por industria y un análisis de las vulnerabilidades
REDWOOD CITY, Calif., 20 de junio de 2024 /PRNewswire/ -- Synack, la principal plataforma de pruebas de seguridad, publicó hoy su segundo informe anual sobre el Estado de las Vulnerabilidades, que combina cientos de miles de horas de pruebas de penetración y un análisis de más de 14.000 vulnerabilidades explotables para proporcionar una visión directa sobre la gravedad, el volumen y las tendencias de reparación de fallos de software en todas las industrias.
"Comprender la superficie de ataque y el impacto que la explotación exitosa de las vulnerabilidades podría tener en su organización es fundamental para tomar decisiones inteligentes en materia de seguridad y de negocios", afirmó Jay Kaplan, consejero delegado y cofundador de Synack. "Estamos orgullosos de publicar el segundo Informe anual sobre el Estado de las Vulnerabilidades de Synack para ayudar a las organizaciones de los sectores de la atención médica, los servicios financieros, el gobierno federal, la tecnología y la fabricación a comprender las vulnerabilidades a las que se enfrentan y cómo pueden mantenerse un paso por delante de los atacantes. Vemos muchas razones para ser optimistas, pero eso no significa que la amenaza esté disminuyendo".
Las vulnerabilidades de gravedad crítica aumentan, pero los tiempos de reparación mejoran
El Synack Red Team (SRT), una comunidad de los hackers éticos más confiables y capacitados del mundo, descubrió que en todas las industrias los clientes experimentaron una mayor proporción de vulnerabilidades de gravedad crítica en 2023 que en 2022, y una ligera reducción en las vulnerabilidades de gravedad alta. A pesar de las crecientes presiones sobre los equipos de seguridad, las organizaciones redujeron su tiempo medio de reparación para las vulnerabilidades de gravedad crítica en 24 días y las vulnerabilidades de gravedad alta en 18 días, hasta llegar a 56 y 74 días, respectivamente.
Sin embargo, el informe identificó las mismas categorías de vulnerabilidades que persisten año tras año, lo que indica un aumento de las amenazas relacionadas con los fallos de inyección, que se destacaron en una reciente alerta de Secure by Design de la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los sectores de la atención médica y la tecnología experimentaron un aumento en las inyecciones SQL, y los fallos de inyección, incluido XSS, representaron aproximadamente un tercio de todas las vulnerabilidades que Synack descubrió en 2023.
Desglose por industria
El informe de Synack revela hallazgos clave sobre las principales vulnerabilidades y los tiempos de solución para los sectores de atención médica, servicios financieros, gobierno federal, tecnología y fabricación.
A continuación, se presentan algunas tendencias clave identificadas al analizar las cinco industrias:
- De promedio, las empresas de atención médica tenían más de 5.400 subdominios, 1.500 aplicaciones web y 1.400 direcciones IP expuestas públicamente, la mayor superficie de ataque de todos los sectores analizados.
- De las vulnerabilidades encontradas, casi 1.900 eran inyecciones SQL clasificadas como críticas o de alta gravedad.
- Los fallos de inyección magnificaron las debilidades de los sectores. De promedio, las empresas de servicios financieros tardaron 53 días en remediar las vulnerabilidades de inyección SQL, las empresas de tecnología tardaron 57 días y las empresas de atención médica tardaron solo 45 días.
El informe se basa en datos de evaluaciones de seguridad realizadas en la base de clientes global de Synack y se alinea con las categorías de vulnerabilidad del documento de concienciación estándar OWASP Top 10. Los más de 1.500 miembros del SRT pasaron colectivamente más de 27.000 días probando los activos de los clientes de Synack el año pasado, incluidos la nube, la interfaz de programación de aplicaciones, el modelo de lenguaje grande (LLM) de IA, la aplicación web, la infraestructura de host y las superficies de ataque móviles.
Para leer el informe completo, visite: https://go.synack.com/state-of-vulnerabilities-2024
Acerca de Synack
La plataforma de pruebas de seguridad líder de Synack aprovecha una comunidad talentosa y examinada de investigadores de seguridad y tecnología inteligente para ofrecer pruebas de penetración y gestión de vulnerabilidades continuas, con resultados prácticos. Estamos comprometidos a hacer que el mundo sea un lugar más seguro cerrando la brecha de habilidades en ciberseguridad, proporcionando a las organizaciones acceso bajo demanda a los investigadores de seguridad más confiables del mundo. Con sede en Silicon Valley y equipos regionales en todo el mundo, Synack protege una lista creciente de clientes de Global 2000 y agencias estadounidenses en un entorno autorizado moderado de FedRAMP. El enfoque integral de Synack para Pentesting as a Service (PTaaS) descubrió más de 14.000 vulnerabilidades explotables solo en 2023. Para obtener más información, visite www.synack.com.
Logo - https://mma.prnewswire.com/media/838158/Synack_Logo_v2.jpg
Share this article