- El informe CyCognito describe los riesgos que plantean las vulnerabilidades de la cadena de suministro
- Los productos de terceros ponen en riesgo a las empresas debido a vulnerabilidades no descubiertas
- Los servidores web, los protocolos de cifrado y las interfaces web son los que más sufren
Las vulnerabilidades críticas a menudo pasan desapercibidas en muchos sistemas digitales, lo que expone a las empresas a importantes riesgos de seguridad, según afirma una nueva investigación.
A medida que las organizaciones dependen cada vez más del software de terceros y de cadenas de suministro complejas, las amenazas cibernéticas ya no se limitan únicamente a los activos internos, ya que muchas de las vulnerabilidades más críticas provienen de fuentes externas.
2024 Informe de estado de gestión de exposición externa CyCognito proporciona un análisis de los riesgos que enfrentan las organizaciones hoy en día, particularmente en relación con servidores web, protocolos de cifrado e interfaces web para manejar información de identificación personal (PII).
Los riesgos de la cadena de suministro siguen siendo una preocupación creciente
Los proveedores externos desempeñan un papel fundamental en las operaciones de muchas empresas y proporcionan hardware y software esenciales. Sin embargo, su participación puede generar riesgos importantes, especialmente en lo que respecta a configuraciones erróneas y vulnerabilidades en toda la cadena de suministro.
Muchas de las vulnerabilidades más graves, como Error de transferencia de MOVEitSe han detectado enlaces a software de terceros, Apache Log4J y Polyfill.
Los servidores web siempre se encuentran entre los activos más vulnerables de la infraestructura de TI de una organización. Los hallazgos de CyCognito revelan que los entornos de servidores web representaron uno de cada tres (34%) de todos los problemas críticos en los activos encuestados. Plataformas como Apache, NGINX, microsoft IIS y Google El servidor web está en el centro de estas preocupaciones y alberga problemas más graves que otros 54 entornos combinados.
Además de en los servidores web, existen vulnerabilidades en protocolos de cifrado como TLS (Transport Layer Security). y HTTPS también es una preocupación. El informe señala que el 15% de todos los problemas críticos de superficies de ataque afectan a plataformas que utilizan protocolos TLS o HTTPS. Aplicaciones web que carecen de la adecuada Cifrado Son particularmente vulnerables y ocupan el segundo lugar en la lista de los 10 principales riesgos de seguridad de OWASP.
El informe CyCognito también destacó la insuficiencia de la web solicitar Cortafuegos Formas de protección (WAF), especialmente para interfaces web de acceso personal puede ser identificado Información (PII).
El informe muestra que solo la mitad de las interfaces web encuestadas que procesan información de identificación personal estaban protegidas por un WAF, lo que dejaba la información confidencial vulnerable a ataques. Aún más alarmante es el hecho de que el 60% de las interfaces que exponen PII también carecen de protección WAF.
Desafortunadamente, los enfoques obsoletos para la gestión de vulnerabilidades a menudo dejan los activos expuestos, lo que exacerba los riesgos. Las organizaciones deben adoptar un enfoque más proactivo e integral para gestionar las exposiciones externas.