Incluso cuando una nueva metodología sacudió las clasificaciones de este año de los errores de software más peligrosos, las amenazas persistentes tradicionales surgieron como el mayor riesgo para las organizaciones, lo que refuerza la necesidad de seguir centrándose y abordando la inversión en código seguro.
La lista anual de enumeración de debilidades comunes (CWE) es compilada por MITRE y la Agencia de Infraestructura y Ciberseguridad (CISA). Este año, por primera vez, su fórmula incluía tanto la gravedad como la frecuencia de los defectos.
“Las debilidades raramente descubiertas no recibirán una puntuación alta, independientemente de las consecuencias típicas asociadas con cualquier explotación”, afirma la lista. página de metodología explicar. “Las debilidades que son comunes y causan daños significativos recibirán las puntuaciones más altas”.
Las principales debilidades del año, según Lista CWE 2024, era secuencias de comandos entre sitios (segundo el año pasado), seguido de escritura fuera de límites (ganador 2023), Inyección SQL (también tercero el año pasado), falsificación de solicitudes entre sitios (CSRF) (noveno en 2023) y recorrido de ruta (octavo el año pasado).
“Si bien ciertamente vemos algún movimiento en las clasificaciones a lo largo de la lista, también seguimos viendo la presencia de los ‘sospechosos habituales’ (por ejemplo, CWE-79, CWE-89, CWE-125)”, dice Alec Summers, el programa CVE. gerente de proyectos de MITRE y uno de los autores de la lista. “Sigue siendo preocupante que estas y otras debilidades permanezcan constantemente en la cima del Top 25”.
La única reorganización real en la clasificación de este año, señala, fue el ascenso de CRSF del noveno lugar el año pasado al cuarto lugar en 2024. “Esto podría reflejar un mayor énfasis en CSRF por parte de los investigadores de vulnerabilidad o tal vez haya mejoras en la detección de CSRF, o tal vez. Cada vez más adversarios se centran en este tipo de problema. Realmente no podemos saber por qué dio un salto tan grande”, dijo Summers.
como el ciclo de vida del desarrollo de software (SDLC) y cadena de suministro de software Se vuelven más laberínticos cada año y a medida que las fallas cotidianas del software continúan proliferando, es cada vez más importante que las organizaciones dominen sus sistemas antes de que las debilidades cotidianas se conviertan en algo más siniestro, recomienda.
“Al observar los 25 principales, se recomienda encarecidamente a las organizaciones que revisen y aprovechen la lista como recurso guía para dar forma a sus estrategias de seguridad de software”, dice Summers. “Al priorizarlos en los procesos de desarrollo y adquisiciones, las organizaciones pueden gestionar los riesgos de manera más proactiva”.
El fortalecimiento de la cadena de suministro de software comienza en casa
Estos esfuerzos también deberían extenderse a toda la cadena de software, añade Summers.
“Cada vez es más importante que las organizaciones adopten y exijan a sus proveedores que adopten el mapeo de causas raíz CVE con CWE”, insiste. “Esto promueve un valioso circuito de retroalimentación en la planificación del diseño y la arquitectura del SDLC de una organización, lo que, además de aumentar la seguridad del producto, también puede ahorrar dinero: cuanto más evite las debilidades durante el desarrollo de su producto, menos vulnerabilidades habrá que abordar después de la implementación. .
Además de incorporar una nueva metodología para determinar qué vulnerabilidades de software representaban el mayor riesgo, 2024 fue el primer año en que toda la comunidad de la Autoridad de Numeración CVE (CNA) contribuyó a los esfuerzos del programa CWE. Un total de 148 CNA contribuyeron a la lista de este año, según el Proyecto CWE. Actualmente hay 421 CNA en 40 paísessegún CVE.org.