Herramientas de detección automática pasan por alto un 75% de las vulnerabilidades

Herramientas de detección automática pasan por alto un 75% de las vulnerabilidades
.En ciberseguridad los falsos negativos representan un problema aún mayor que los falsos positivos.Vladimir Villa, CEO de Fluid Attacks

Múltiples organizaciones conviven con el riesgo de tener vulnerabilidades sin tratar, ya que no saben que estas se encuentran presentes en su sistema.

Fluid Attacks entregó detalles sobre el problema que pueden significar los falsos negativos (o fugas) en ciberseguridad, que son vulnerabilidades que existen dentro de un sistema o software, pero que las herramientas automatizadas de búsqueda de vulnerabilidades o los analistas de seguridad no logran detectar cuando se evalúa o prueba un sistema.

En ciberseguridad los falsos negativos representan un problema aún mayor que los falsos positivos, porque generan una falsa sensación de seguridad en los sistemas. Esto les impide a las compañías estimar sus riesgos reales, y determinar adecuadamente los recursos monetarios y humanos necesarios para mitigar la explotación de esas vulnerabilidades por parte de atacantes maliciosos”, explicó Vladimir Villa, CEO de Fluid Attacks.

Una empresa que tiene una estrategia de seguridad, pero presenta falsos negativos dentro de sus sistemas, no podrá gestionar el riesgo real.

La organización se podría ver expuesta a ataques elaborados que pueden acarrear fraudes, pérdidas económicas y de información, y generar riesgos de reputación corporativa.

Muchas veces este tipo de vulnerabilidades no se detectan debido a que las herramientas automáticas usadas para ejecutar las pruebas de seguridad, aunque entregan reportes con rapidez, no están al nivel de la inteligencia humana para entender e identificar todos los tipos de vulnerabilidades”, agregó Villa.

Según Fluid Attacks, las posibilidades de que las herramientas de detección automática omitan ciertas vulnerabilidades de un sistema son altas, con tasas de fuga que van desde un 75% a un 99%.

Te puede interesar  1 de cada 2 empresas argentinas no comunica o no tiene políticas de ciberseguridad

En cambio, esa cifra en hackers capacitados suele estar alrededor del 5%, lo que indica que los humanos tienden a equivocarse menos al buscar vulnerabilidades.

Además, la empresa indica que cuando un falso negativo es detectado, es importante determinar por qué no fue identificado con anterioridad. Para esto se recomienda tener en cuenta los siguientes factores:

  • ¿Cuál fue la cobertura de la prueba realizada?. Es decir, ¿se probó todo el sistema o solo una porción del mismo?
  • ¿Qué tan rigurosa fue la prueba realizada? Se debe determinar si se hizo una prueba estática (revisión al código fuente desarrollado para crear el sistema) y una prueba dinámica (usar el sistema como un usuario e intentar hacer fallar la aplicación o el sistema).
  • ¿La prueba de seguridad al sistema fue realizada solo con herramientas automáticas de detección de vulnerabilidades o solo por analistas de seguridad (o hackers éticos)?

Las tasas de fugas o falsos negativos tienden a disminuir con la combinación óptima de herramientas automáticas (dedicadas a encontrar vulnerabilidades 100% determinísticas, o con certeza del 100%) y equipos de hackers éticos especializados, ya que esto permite que se cubran una mayor variedad de vulnerabilidades y metodologías de búsqueda”, concluyó Villa.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "Access Not Configured. YouTube Data API has not been used in project 333462171821 before or it is disabled. Enable it by visiting https://console.developers.google.com/apis/api/youtube.googleapis.com/overview?project=333462171821 then retry. If you enabled this API recently, wait a few minutes for the action to propagate to our systems and retry." Dominio: "usageLimits". Razón: "accessNotConfigured".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


Día del Trabajador en Argentina: 4 de cada 10 trabajadores recibe su salario en gris o en negro

Un estudio realizado por OH! Panel reveló la opinión de trabajadores argentinos en el marco del Día Internacional del Trabajo....

Cerrar