Stephen Finn - stock.adobe.com

Detección automática puede pasar por alto 75% de vulnerabilidades

Las herramientas de detección automática de vulnerabilidades pueden sufrir de falsos negativos, lo que deja a las organizaciones con varios puntos ciegos de alto riesgo, afirma Fluid Attacks.

En ciberseguridad, los falsos negativos (o fugas) son vulnerabilidades que existen dentro de un sistema o software, pero que no son detectadas por las herramientas automatizadas de búsqueda de vulnerabilidades o los analistas de seguridad cuando se evalúa o prueba un sistema, según lo explica la empresa de pruebas de seguridad, Fluid Attacks.

«Los falsos negativos representan un problema aún mayor que los falsos positivos, porque generan una falsa sensación de seguridad en los sistemas. Esto les impide a las compañías estimar sus riesgos reales y determinar adecuadamente los recursos monetarios y humanos necesarios para mitigar la explotación de esas vulnerabilidades por parte de atacantes maliciosos», explica Vladimir Villa, CEO de Fluid Attacks.

De acuerdo con el ejecutivo, una empresa que tiene una estrategia de seguridad completa, pero presenta falsos negativos dentro de sus sistemas, no podrá gestionar su nivel de riesgo real y podría verse expuesta a ataques elaborados que pueden acarrear fraudes, pérdidas económicas y de información, y generar riesgos de reputación corporativa.

«Muchas veces este tipo de vulnerabilidades no se detectan debido a que las herramientas automáticas usadas para ejecutar las pruebas de seguridad, aunque entregan reportes con rapidez, no están al nivel de la inteligencia humana para entender e identificar todos los tipos de vulnerabilidades», agrega Villa.

Además, la empresa indica que cuando un falso negativo es detectado, es importante determinar por qué no fue identificado con anterioridad. Para esto se recomienda tener en cuenta los siguientes factores:

  1. ¿Cuál fue la cobertura de la prueba realizada? Es decir, ¿se probó todo el sistema o solo una porción del mismo?
  2. ¿Qué tan rigurosa fue la prueba realizada? Se debe determinar si se hizo una prueba estática (revisión al código fuente desarrollado para crear el sistema) y una prueba dinámica (usar el sistema como un usuario e intentar hacer fallar la aplicación o el sistema).
  3. ¿La prueba de seguridad al sistema fue realizada solo con herramientas automáticas de detección de vulnerabilidades o solo por analistas de seguridad (o hackers éticos)?

Según Fluid Attacks, las posibilidades de que las herramientas de detección automática omitan ciertas vulnerabilidades de un sistema son altas, con tasas de fuga que van desde un 75 % a un 99 %. En cambio, esa cifra en hackers capacitados suele estar alrededor del 5 %, lo que indica que los humanos tienden a equivocarse menos al buscar vulnerabilidades.

«Las tasas de fugas o falsos negativos tienden a disminuir con la combinación óptima de herramientas automáticas (dedicadas a encontrar vulnerabilidades 100 % determinísticas, o con certeza del 100 %) y equipos de hackers éticos especializados, ya que esto permite que se cubran una mayor variedad de vulnerabilidades y metodologías de búsqueda», recomienda Villa.

Investigue más sobre Gestión de la seguridad