Una de las principales conclusiones del informe, establece que el panorama de amenazas contra la seguridad está plagado de vulnerabilidades conocidas y como muestra, los 10 principales ataques que tuvieron lugar en 2014 se aprovecharon de debilidades conocidas en sistemas implementados hace años, incluso décadas, como explica Art Gilliland, vicepresidente senior y director general del HP Enterprise Security Products:

“Muchos de los principales riesgos de seguridad son problemas conocidos por nosotros desde hace décadas y dejan a las organizaciones expuestas a riesgos de forma innecesaria… No podemos olvidar la defensa contra estas conocidas vulnerabilidades y confiar en la seguridad que nos ofrecerá la próxima innovación tecnológica. Las organizaciones deben utilizar tácticas de seguridad para hacer frente a las vulnerabilidades conocidas y, a su vez, eliminar los riesgos”

Otras de las conclusiones de HP Security Research son:

  • El 44% de las brechas conocidas proceden de vulnerabilidades que nacieron hace entre 2 y 4 años. Los cibercriminales continúan implementando técnicas conocidas para comprometer los sistemas y las redes. Todas y cada una de las 10 principales vulnerabilidades que tuvieron lugar en 2014 aprovechaban código escrito hace años, incluso décadas.
  • Las desconfiguraciones de los servidores ha sido la principal vulnerabilidad. Por encima de vulnerabilidades como la privacidad y los problemas de seguridad causados por las cookies, las desconfiguraciones de los servidores dominaban la lista de las preocupaciones de seguridad en 2014, proporcionando a los adversarios un acceso a los archivos, dejando a la organización susceptible de sufrir un ataque.
  • Se han introducido nuevas vías de ataque a través de los dispositivos conectados. Además de los problemas de seguridad que ha causado el Internet de las Cosas, en 2014 se produjo un aumento en el nivel de malware para dispositivos móviles. Puesto que el ecosistema i informático continúa ampliándose, a menos que las empresas tomen la seguridad en consideración, los cibercriminales continuarán descubriendo puntos de acceso.
  • La principal causa de ataques a software son defectos, errores y fallos. La mayoría de las vulnerabilidades se deben a un pequeño número de errores en la programación del software. Tanto las antiguas como las nuevas vulnerabilidades están siendo aprovechadas por los atacantes.

El grupo de investigación de HP también ofrece recomendaciones como:

  • Se debe utilizar una amplia estrategia de parcheado para garantizar que los sistemas están actualizados con las últimas soluciones de seguridad para reducir la probabilidad de sufrir ataques.
  • El análisis regular de penetración y verificación de configuraciones por entidades externas e internas puede identificar los errores de configuración antes de que los cibercriminales los ataquen.
  • Mitigar el riesgo que puede suponer la adopción de una nueva tecnología antes de incluirla en una red. Con la aparición de nuevas tecnologías comoInternet of Things (IoT), es necesario que las organizaciones se protejan contra las vulnerabilidades de seguridad entendiendo las nuevas vías de ataque antes de que las utilicen.
  • La colaboración e inteligencia de amenazas compartida es clave para hacer frente a las amenazas en la industria de seguridad. Esto permite a las organizaciones ganar visibilidad en las tácticas del adversario, permitiendo una mejor defensa proactiva, fortaleciendo la protección ofrecida por las soluciones de seguridad y un entorno más seguro.
  • Se debe adoptar una estrategia de protección complementaria con una continua mentalidad de “asumir brechas”. No hay ninguna solución mágica, por los que se debe implementar una estrategia complementaria, tácticas de seguridad por capas para garantizar la mejor defensa.

El informe del Ciberriesgo de HP es publicado anualmente por HP Security Research, ofreciendo un número de recursos externos e internos para desarrollar el informe, incluyendo HP Zero Day Initiative, HP Fortify on DemandHP Software Security ResearchReversingLabs.

Más información:

HP Seguridad Empresarial

– Descarga: Informe anual del Ciberriesgo 2015

 

Fuente: muyseguridad