Herramientas carecen de precisión al detectar vulnerabilidades

Jim Cueva | @jcmagazine

Fluid Attacks, compañía dedicada al hacking ético en los sistemas informáticos empresariales, entrega detalles sobre el problema que hoy presentan las empresas que cuentan sólo con herramientas automáticas dentro sus esquemas para detectar las vulnerabilidades de seguridad en sus sistemas.

«Hoy existe en el mercado una brecha de oferta y demanda de especialistas en ciberseguridad, específicamente en equipos rojos, que son quienes atacan sistemas para encontrar sus vulnerabilidades. Esto, sumado a la acelerada evolución de la tecnología, hace que algunas compañías se inclinan por adquirir herramientas que detectan de forma automática las vulnerabilidades en el software, y que pueden procesar grandes cantidades de información en tan solo unos minutos o un par de horas como mucho», explica Felipe Gómez, LATAM Manager de Fluid Attacks.

El principal problema al que se enfrentan las empresas que utilizan herramientas de detección automática de vulnerabilidades es la incapacidad de dichas herramientas para hackear. Los múltiples fallos o debilidades relacionados con seguridad en los sistemas informáticos son de tan variable complejidad, que aún la tecnología no es capaz de detectar muchos de ellos.

Una gran dificultad que presenta este tipo de herramientas automáticas es los denominados falsos positivos. Estos se dan cuando las herramientas reportan la existencia de vulnerabilidades en seguridad, y, al realizarse su verificación por parte de los equipos de desarrollo, se descubre que dichas vulnerabilidades son inexistentes. Estas falsas alarmas o mentiras, que los equipos de ciberseguridad reciben diariamente, pueden ser abrumadoras y constituir una gran pérdida de tiempo al tratar de verificarlas.

«Debido a los falsos positivos y a los falsos negativos (también conocidos como fugas), en los próximos años la industria de ciberseguridad va a seguir dependiendo y necesitando de la intervención humana como recurso estratégico. Los analistas de seguridad o hackers éticos omiten menos vulnerabilidades en los sistemas, siendo más precisos y logrando correlacionar vulnerabilidades para lograr ataques de mayor complejidad, elemento del que hoy carecen las herramientas automáticas. Por lo tanto, la precisión contribuye a que las compañías conozcan el riesgo que corre el negocio al tener al aire aplicaciones o sistemas con vulnerabilidades presentes y consecuentemente asignen los recursos necesarios para resolver estos problemas de seguridad», menciona Gómez, de Fluid Attacks.

Un proceso que encuentre todas las vulnerabilidades en un sistema puede ser veloz y preciso combinando herramientas automáticas y equipos de hackers éticos especializados, al utilizarse así una mayor variedad de estándares y metodologías de búsqueda.

Jim Cueva | @jcmagazine

Artículos relacionados

Ransomware

Kaspersky descubre nuevo ransomware nunca antes visto

14/11/2024
Kingston

Descubra como proteger tus datos frente al aumento del ciberdelito

14/11/2024
Verisure

6 puntos a considerar antes de adquirir un sistema de seguridad

13/11/2024
Seguridad

¿Estás listo para las ofertas online?

08/11/2024
© Creado por Jim Cueva | Todos los derechos reservados
Back to top button