Una nueva investigación revela una alta proporción de aplicaciones públicas vulnerables en la nube, móviles y web que exponen datos sensibles, incluyendo APIs no seguras e información personal identificable (PII).
El estudio de CyCognito, basado en el análisis de 3,5 millones de activos de su base de clientes empresariales, concluye que el 74% de los activos con PII son vulnerables al menos a un exploit importante conocido, y uno de cada 10 tiene al menos un problema fácilmente explotable.
«El último exploit MOVEit es una advertencia para todos los CISO de que los atacantes siguen estando muy por delante de la seguridad de las aplicaciones web y de la nube», afirma Rob Gurzeev, CEO y cofundador de CyCognito. «El volumen de información personal expuesta a raíz de esta desastrosa brecha respalda nuestras conclusiones y subraya la necesidad crítica de una visibilidad completa de todos los activos en la superficie de ataque de una organización. Las empresas ya no pueden permitirse el lujo de descuidar su sombra digital y los muchos riesgos desconocidos y no gestionados dentro de sus sistemas.»
Además, el 70% de las aplicaciones web presentan graves carencias de seguridad, como la falta de protección WAF o de una conexión cifrada como HTTPS, mientras que el 25% de todas las aplicaciones web (web apps) carecían de ambas. Esto es preocupante, ya que una empresa global típica tiene más de 12.000 aplicaciones web, que pueden incluir API, aplicaciones SaaS, servidores y bases de datos, entre otras.
El informe también muestra que el 98 % de las aplicaciones web podrían no cumplir el GDPR debido a la falta de una opción para que los usuarios puedan optar por no recibir cookies.
Gurzeev añade: «El tamaño de la superficie de ataque de una empresa fluctúa hacia arriba y hacia abajo hasta un 10% al mes, lo que la convierte en un objetivo móvil plagado de brechas de seguridad listas para ser explotadas. Nuestra última investigación no es sólo una llamada de atención sobre el hecho de que ninguna empresa es inmune al riesgo; también es una prueba clara de que los activos desconocidos y no descubiertos representan una amenaza importante para una organización.»
Puede obtener el informe completo en el sitio web de CyCognito.
Fuente WEB | Editado por CambioDigital OnLine
