Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Reflexiones sobre las vulnerabilidades de seguridad de 2020

Por Christopher Robinson



Crédito: Pexels

¿Qué se puede decir sobre 2020 que no se haya dicho ya? Definitivamente fue un año en el que sucedieron cosas y ciertamente hubo varias de esas cosas que involucraron seguridad. Al observar el panorama de la vulnerabilidad, vemos que se informaron más de 176,447 CVE.


Los puntos vulnerables y las exposiciones comunes (CVE) conforman una lista de fallas de seguridad informática que se encuentra disponible al público. Por lo general, cuando alguien habla de un CVE, se refiere al número de identificación de CVE que se le asigna a una falla de seguridad (Ampliar información)

Dentro de la cartera de Red Hat, identificamos 2040 CVE únicos que afectaron los componentes que suministramos y apoyamos. Este fue, de lejos, el mayor volumen de CVE que hemos fijado en cualquier año calendario registrado. Esto se traduce en una cantidad significativa de trabajo que un operador o administrador debe realizar para mantener sus sistemas funcionando a los niveles máximos de parches.



Entendemos que la mayoría de las empresas no funcionan exclusivamente con productos y servicios de Red Hat, y para alguien que es responsable de un entorno heterogéneo que tiene una mezcla de tecnologías para mantenerse actualizado, puede parecer una tarea hercúlea.


Es por eso que emitimos Red Hat Severity Scores con cada vulnerabilidad , junto con nuestra puntuación CVSS y análisis CWE . Cada problema de seguridad tiene cierto nivel de importancia que tratar, pero algunos problemas tienen mayores probabilidades de ser explotados o tienen mayores consecuencias si lo fueran.


Es interesante observar que a lo largo de los años hemos realizado un seguimiento activo e informado sobre los problemas que afectan a nuestro software para ver el cambio en la distribución de la gravedad de los problemas. El volumen de problemas críticos e importantes que abordamos consistentemente en toda la cartera se ha mantenido en general sin cambios, con un ligero repunte en 2020, pero no se acerca a los "niveles récord". Red Hat Engineering abordó los problemas críticos en toda la cartera con gran rapidez. En 2020, el 31% de los CVE que calificamos como críticos se abordaron y tenían parches para los consumidores en un día hábil. Un total del 89% tuvo correcciones dentro de una semana y un 100% completo se abordaron dentro de un mes de la divulgación pública.


En general, el volumen de problemas que reparamos fue 1,5 veces mayor que el que tuvimos en 2019, y los tiempos de entrega promedio y mediano fueron bajos. Esto se traduce en una disponibilidad más rápida de las actualizaciones de seguridad.


El volumen de fallas de seguridad moderadas que se solucionaron solo en 2020 fue mayor que todas las vulnerabilidades que Red Hat corrigió en 2011, 2012, 2013 y 2014 (además, arreglamos 460 problemas de gravedad baja como guinda del pastel). Este fue un aumento de 3 veces en el volumen en todos los ámbitos desde 2011 ... ¿qué deparan los próximos nueve años? Sólo el tiempo dirá.


Reducir los riesgos de seguridad requiere programas de gestión eficaces


A medida que los sistemas se vuelven más complejos, la clave para reducir los riesgos asociados con ellos es contar con programas efectivos de administración de parches y vulnerabilidades y minimizar la superficie de ataque si presenta un actor malicioso o curioso.


Vale la pena señalar que cuando las funciones de seguridad predeterminadas están deshabilitadas (como apagar SELinux, por ejemplo, que si lo hiciera haría llorar a Dan Walsh), el perfil de riesgo de ese sistema se modifica drásticamente, lo que abre la posibilidad de riesgos e impactos de seguridad adicionales. . Una buena higiene de la seguridad, la administración de parches oportuna y los controles de acceso y el registro adecuados pueden ser de gran ayuda para evitar que el próximo titular terrible de los medios lo afecte.


Esperamos que haya disfrutado de esta serie de blogs sobre nuestro Informe de riesgos de seguridad de productos de 2020. Cada uno de estos artículos se ha ampliado sobre un concepto cubierto en el informe, por lo que si le gustaron los blogs, lea el informe completo para obtener más información.


Fuente: Blog de Red Hat.

4 vistas0 comentarios

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png
D&S colores.png

 © Data&Service, todos los derechos reservados.