Equipos de seguridad sobrecargados de información, abrumados por alertas de todas partes: esta observación aparece periódicamente en los comentarios de los CISO y otros expertos en la materia. Ante esta situación, uno de los principales desafíos consiste en afinar los criterios de priorización y clasificación, para permitir a los ciberdefensores centrarse mejor en las vulnerabilidades e incidentes que lo merecen. En este aspecto, el último informe "Estado de la seguridad de las aplicaciones", publicado por el editor de soluciones de observabilidad Datadog, ofrece algunas ideas para evaluar mejor las vulnerabilidades de las aplicaciones. De hecho, la mayoría de los defectos identificados como críticos no lo son necesariamente si tenemos en cuenta el contexto específico de la empresa.

Al analizar los datos de miles de clientes durante el mes de marzo de 2023, Datadog descubrió que, entre las vulnerabilidades identificadas como críticas en el sistema de calificación CVSS (Common Vulnerability Scoring System), el 97% podía ver su nivel de criticidad. revisado a la baja si se incluía información adicional sobre el contexto de ejecución. Por ejemplo, algunas de estas vulnerabilidades no afectaban a entornos de producción, mientras que otras afectaban a servicios que no habían sido atacados durante un mes. Así, el nivel de criticidad puede pasar de crítico a alto para el 32% de ellos, o incluso a medio para el 65%. ¡Esto permitiría a los equipos tener solo el 3% de las alertas para tratar como prioridad!

Uno de cada diez ataques tiene como objetivo entornos no productivos

Por supuesto, esto no significa que deban descuidarse otras alertas. Al analizar los intentos de ataque observados, el editor identifica el 11% de los ataques dirigidos a entornos que no son de producción, una proporción probablemente subestimada, porque se limita a entornos etiquetados explícitamente (por ejemplo, incluyendo staging o development en su nombre). Datadog señala que, si estos ataques tienen éxito, pueden tener graves consecuencias para la empresa: un compromiso del código en desarrollo puede, por ejemplo, abrir el camino a posteriores ataques a la cadena de suministro. Otra lección es que ciertos tipos de vulnerabilidades que se conocen desde hace mucho tiempo todavía se observan en las aplicaciones modernas. El informe identifica así un 5% de inyecciones SQL explotables y un 2% de falsificación de solicitudes del lado del servidor (SSRF), vulnerabilidades a través de las cuales un atacante puede obligar a un servidor a leer o manipular recursos internos.

Datadog también analizó los entornos de ejecución más utilizados por sus clientes para determinar aquellos con el nivel de riesgo medio más alto: Java ocupa el primer lugar, seguido de .Net, Node.js y Python. Sin embargo, si nos fijamos en los lenguajes más afectados por los ataques, el más afectado es PHP, que ha sido durante mucho tiempo el más popular para el desarrollo de sitios web y sigue estando muy extendido. Representa el 68% de los ataques, por delante de Java (30%) y Javascript (2%). El informe también destaca una clara correlación entre la cantidad de dependencias de bibliotecas de terceros y la cantidad de servicios que muestran vulnerabilidades críticas, al menos en entornos de aplicaciones basados ​​en Java, Python o Node.js. (En .Net, el número de vulnerabilidades estudiadas fue demasiado pequeño para llegar a una conclusión).

Para poner un poco de bálsamo en los corazones de los CISO, el estudio revela que los ciberatacantes están lanzando sus redes demasiado lejos. De hecho, tres cuartas partes (74%) de los ataques observados en servicios de aplicaciones están mal dirigidos: el 66% apunta a puntos finales que no están presentes, el 31% explota vulnerabilidades en bases de datos que no se utilizan y el 3% incluso apunta a lenguaje inadecuado.