● Las tasas de fugas disminuyen cuando se combinan equipos de hackers éticos especializados con herramientas automáticas.
● Hay
una falsa sensación de seguridad dentro de las organizaciones, porque
no conocen la existencia de todo el universo de vulnerabilidades en sus
sistemas.
Ciudad de México, 08 de septiembre de 2020.- Fluid Attacks, compañía dedicada al hacking ético en los sistemas informáticos empresariales,
entrega detalles sobre el problema que hoy presentan las empresas que
cuentan sólo con herramientas automáticas dentro sus esquemas para
detectar las vulnerabilidades de seguridad en sus sistemas.
“Hoy
existe en el mercado una brecha de oferta y demanda de especialistas en
ciberseguridad, específicamente en equipos rojos, que son quienes
atacan sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada
evolución de la tecnología, hace que algunas compañías se inclinan por
adquirir herramientas que detectan de forma
automática las vulnerabilidades en el software, y que pueden procesar
grandes cantidades de información en tan solo unos minutos o un par de
horas como mucho”, explica Felipe Gómez, LATAM Manager de Fluid Attacks.
El
principal problema al que se enfrentan las empresas que utilizan
herramientas de detección automática de vulnerabilidades es la
incapacidad de dichas herramientas para hackear. Los múltiples fallos o
debilidades relacionados con seguridad en los sistemas informáticos son
de tan variable complejidad, que aún la tecnología no es capaz de
detectar muchos de ellos.
Una
gran dificultad que presenta este tipo de herramientas automáticas es
los denominados falsos positivos. Estos se dan cuando las herramientas
reportan la existencia de vulnerabilidades en seguridad, y, al
realizarse su verificación por parte de los equipos de desarrollo, se
descubre que dichas vulnerabilidades son inexistentes. Estas
falsas alarmas o mentiras, que los equipos de ciberseguridad reciben
diariamente, pueden ser abrumadoras y constituir una gran pérdida de
tiempo al tratar de verificarlas.
“Debido
a los falsos positivos y a los falsos negativos (también conocidos como
fugas), en los próximos años la industria de ciberseguridad va a seguir
dependiendo y necesitando de la intervención humana como recurso
estratégico. Los analistas de seguridad o hackers éticos omiten menos
vulnerabilidades en los sistemas, siendo más precisos y logrando
correlacionar vulnerabilidades para lograr ataques de mayor complejidad,
elemento del que hoy carecen las herramientas automáticas. Por lo
tanto, la precisión contribuye a que las compañías conozcan el riesgo
que corre el negocio al tener al aire aplicaciones o sistemas con
vulnerabilidades presentes y consecuentemente asignen los recursos
necesarios para resolver estos problemas de seguridad”, menciona Gómez,
de Fluid Attacks.
“Otra gran dificultad en la
tecnología de detección de problemas de seguridad en los sistemas es la
presencia de tasas de fugas del 75%. Esto quiere decir que estas
herramientas no son capaces de identificar 7.5 de 10
vulnerabilidades presentes en un sistema. Incluso, algunas pueden llegar
a reportar tasas de fugas de hasta un 99%. Como consecuencia, se genera
falsa sensación de seguridad dentro de las organizaciones, ya que no
conocen la existencia de todo el universo de vulnerabilidades en sus
sistemas. Por el contrario, dichas tasas de fugas en hackers capacitados
suelen estar alrededor del 5%, lo que indica que los humanos tienden a
equivocarse menos al buscar vulnerabilidades”, agrega el vocero de Fluid
Attacks.
Un
proceso que encuentre todas las vulnerabilidades en un sistema puede
ser veloz y preciso combinando herramientas automáticas y equipos de
hackers éticos especializados, al utilizarse así una mayor variedad
de estándares y metodologías de búsqueda.
Acerca de Fluid Attacks
Desde
2001, en Fluid Attacks hemos desarrollado soluciones en servicios de
seguridad para clientes en industrias como la bancaria y la financiera, y
de tecnología, salud, seguros, manufacturas, aerolíneas y medios,
sirviendo a organizaciones en todo el continente. Los servicios de Fluid
Attacks permiten a sus clientes trabajar a velocidad DevOps sin
preocuparse por falsos positivos. El propósito de la compañía es
encontrar todas las vulnerabilidades en los sistemas y reportarlas lo
más pronto posible. Nuestro equipo, de más de 70 expertos en seguridad,
con el mejor talento de la región, y desarrollando nuestra propia
tecnología, trabaja en conjunto con su organización para asegurar que
las vulnerabilidades de su sistema sean identificadas y cerradas.
No hay comentarios:
Publicar un comentario