Un nuevo informe de NTT Application Security ha encontrado que las aplicaciones utilizadas por organizaciones en el sector de la educación tienen una ventana de exposición mejorada a pesar de tener tasas de remediación más bajas y un tiempo de reparación más alto que el promedio.
Este mes, el equipo de investigación de NTT Application Security se centró en las amenazas cibernéticas dirigidas a las aplicaciones educativas, ya que las preocupaciones de seguridad en ese sector continúan creciendo con el comienzo del año escolar.
Los entornos de aprendizaje en línea acelerados debido a la pandemia y las tasas considerables de ransomware y ataques de phishing contra las escuelas K-12 han aumentado el enfoque en los desafíos únicos de ciberseguridad que enfrentan estas organizaciones.
Según el informe, aunque la exposición a filtraciones del sector de la educación se ha mantenido relativamente constante este año, se está tardando más en solucionar las vulnerabilidades de alta gravedad en comparación con otras industrias (206 días frente a 201 días).
Además, las aplicaciones dentro del sector de la educación muestran una mayor tasa de ventana de exposición (WoE), que aumentó al 57 % en agosto desde el 53 % del mes pasado.
Setu Kulkarni, vicepresidente de estrategia de NTT Application Security, dijo a MarketingyPublicidad.es que el sector educativo mostró una tendencia positiva en lo que respecta a WoE.
«Cuando completamos la investigación, fue sorprendente ver que menos del 50 %, en realidad solo el 46 % de las vulnerabilidades críticas, se solucionan alguna vez. Esa es una tasa de remediación sorprendentemente baja, pero eso es solo la mitad de la historia. Para ese 46 % de las vulnerabilidades que se remedian, en promedio se necesitan más de 200 días para corregir una vulnerabilidad crítica una vez que una organización decide abordar la vulnerabilidad», explicó Kulkarni.
«Esos dos factores son los principales contribuyentes a la alta exposición a infracciones de las aplicaciones, es decir, las aplicaciones tienen una WoE inaceptable para los ataques. Además, la combinación de vulnerabilidades graves se ha mantenido constante a lo largo del tiempo y eso significa que los atacantes no tienen que intentar demasiado duro.»
A pesar de los problemas, los datos indican que las organizaciones en el sector de la educación están muy enfocadas en corregir vulnerabilidades críticas dentro de algunas de sus aplicaciones web y Kulkarni dijo que este enfoque parece estar funcionando, ya que las métricas de Ventana de Exposición estables del sector ahora están mejorando.
El sector de la educación tiene una de las mejores métricas de Ventana de exposición (menos de un mes) en todos los sectores, según el informe.
Los investigadores encontraron que el 53% de las aplicaciones en el sector de la educación tienen al menos una vulnerabilidad crítica explotable durante todo el año, sin embargo, el 34% de estas aplicaciones tienen una ventana de exposición de menos de un mes. Esto significa que las vulnerabilidades graves en el 34% de las aplicaciones del sector se solucionan en un mes.
Kulkarni dijo que, en el futuro, debe centrarse en reducir el tiempo promedio para corregir vulnerabilidades críticas y de alta gravedad, que son fundamentales para mejorar la WoE y, en consecuencia, la postura de seguridad general de las aplicaciones.
«Las estadísticas de seguridad de aplicaciones para el sector de la educación indican un hiperenfoque entre las organizaciones de este sector en un puñado de aplicaciones web críticas y en la corrección de un puñado de vulnerabilidades críticas en esas aplicaciones», agregó Kulkarni.
«Para acelerar la mejora en la postura general de seguridad de las aplicaciones del sector educativo, las organizaciones del sector deben ampliar su enfoque para identificar su superficie de ataque general y poner en marcha un programa sistemático que cubra progresivamente todas las aplicaciones».
Kulkarni también sugirió que las organizaciones educativas brinden capacitación en seguridad a los estudiantes y exijan que los productos SaaS y no SaaS se verifiquen minuciosamente en busca de vulnerabilidades.
