2021 marcó un récord en vulnerabilidades de software conocidas. Las organizaciones informaron de 20.130 vulnerabilidades, 55 al día de media. Y aunque sólo el 4% suponen un alto riesgo, incluso los departamentos de TI con más recursos y personal no pueden solucionar todas estas ‘brechas’ en sus infraestructuras.
¿Cómo evitar daños mayores y gestionar con mayor éxito las vulnerabilidades? Kenna Security, ahora parte de Cisco, ha presentado el informe Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability, elaborado en colaboración con Cyentia Institute, que muestra la probabilidad relativa de que los ciber-delincuentes exploten estas vulnerabilidades.
El estudio desvela que priorizar adecuadamente las vulnerabilidades a subsanar centrándose en las de alto riesgo con código de explotación público es más eficaz que aumentar la capacidad de las organizaciones para parchearlas. Pero si además se consiguen ambas metas, priorizar y remediar, se puede lograr una reducción de hasta 29 veces en la probabilidad de explotación.
La capacidad de explotación medida en el informe se ha determinado utilizando el sistema abierto de puntuación de predicción de explotaciones (EPSS, Exploit Prediction Scoring System), una iniciativa de la industria que incluye a Kenna Security y al Instituto Cyentia y gestionada por FIRST.org. Esto permite mostrar la probabilidad relativa de que una organización en particular sea ‘explotada’.
La investigación confirma una directiva de la Agencia estadounidense de Seguridad de Infraestructuras y Ciberseguridad (CISA) que sugiere dejar de priorizar la reparación de vulnerabilidades basándose en las puntuaciones CVSS (Common Vulnerability Scoring System) para centrarse en las que suponen un riesgo inminente, evaluado mediante factores como el código de explotación e incluso las menciones en Twitter.
De hecho y según el informe de Kenna Security, priorizar la remediación de vulnerabilidades con código de explotación resulta 11 veces más eficaz que el sistema CVSS para minimizar el riesgo. Otras conclusiones destacadas son:
- Casi todos los activos de TI (el 95%) tienen al menos una vulnerabilidad altamente explotable.
- La mayoría de las organizaciones (el 87%) muestran vulnerabilidades abiertas en al menos el 25% de sus activos, y el 41% en tres de cada cuatro activos.
- El 62% de las vulnerabilidades tiene menos de un 1% de posibilidades de explotación. Sólo el 5% de las vulnerabilidades conocidas (CVEs) superan el 10% de probabilidad.