Fluid Attacks consigue puntuación perfecta en la detección de vulnerabilidades del benchmark de OWASP

La fundación OWASP, reconocida por publicar el ranking de los 10 riesgos de seguridad más críticos en aplicaciones web, permite que las compañías evalúen el desempeño de sus tecnologías de detección de vulnerabilidades.

Fluid Attacks, compañía dedicada a realizar pruebas de seguridad en las organizaciones, consiguió el mes pasado la mejor calificación posible en prueba contra el OWASP Benchmark Project v.1.2 de la fundación OWASP (Open Web Application Security Project), gracias a su sistema de software automatizado creado para detectar diferentes tipos de compromisos en los sistemas de las empresas.

OWASP realizó un benchmark con algunos de los riesgos más críticos en aplicaciones web. Este ejercicio estuvo enfocado en una serie de pruebas en Java para evaluar la precisión, velocidad y cobertura que ofrecen las herramientas de detección de vulnerabilidades de software automatizadas. Fluid Attacks, con su herramienta SAST (Static Application Security Testing) de código abierto, alcanzó una tasa del 100% en verdaderos positivos (verdades) y una tasa del 0% en falsos positivos (mentiras).

Vladimir Villa GómezVladimir Villa, CEO de Fluid Attacks, expresó: “Estamos orgullosos por los resultados logrados contra el OWASP Benchmark, que es una de las fuentes mundiales de referencia para medir la capacidad de las herramientas de detección de vulnerabilidades en seguridad. De esta manera, los clientes con los que trabajamos pueden tomar este logro como una garantía sobre la precisión de nuestra herramienta para detectar estos riesgos, aunque siempre les recordamos la importancia de realizar análisis integrales donde se incorpore el trabajo manual de nuestros hackers éticos, ya que su aporte en conocimiento es lo que permite encontrar todas las vulnerabilidades de un sistema”.

El OWASP Benchmark ayuda a determinar las fortalezas y debilidades de las diferentes máquinas de pruebas de seguridad de aplicaciones (AST) y permite realizar comparaciones objetivas entre ellas. A través de este tipo de proyectos puede evidenciarse que las mejores herramientas son aquellas que tan solo informan sobre las vulnerabilidades reales.

“Las empresas recurren a soluciones con técnicas DAST (Dynamic Application Security Testing) y SAST para evaluar y poder proteger sus aplicaciones; sin embargo, resulta habitual que los procesos automáticos de detección de vulnerabilidades fallen en los momentos de identificar vulnerabilidades reales y de ignorar alarmas de vulnerabilidades inexistentes. La efectividad de nuestra herramienta radica en que logra detectar correctamente las vulnerabilidades automatizables que están presente y hacer caso omiso de las falsas alarmas”, explicó Villa.

undefined

Antes de adquirir herramientas de evaluación, es importante que las empresas, con sus equipos de desarrollo y seguridad, soliciten y conozcan las tasas de falsos positivos y falsos negativos de las mismas. Por otra parte, ser conscientes de su tasa de remediación de vulnerabilidades, les puede permitir entender cómo su equipo puede mejorar la solución y el tiempo de cierre de dichos compromisos.

“La tecnología no es perfecta, por lo tanto, este benchmark resulta muy valioso, ya que permite a las empresas no dejarse influenciar por las acciones de mercadeo que realizan muchas organizaciones dentro de esta industria. Algunas de estas, por ejemplo, pueden revelar a sus clientes solo sus altas tasas de verdaderos positivos, manteniendo ocultos los datos referentes a sus falsos positivos”, expresó el representante de Fluid Attacks. 

OWASP es una fundación sin ánimo de lucro, creada en el año 2001, comprometida a ayudar a mejorar la seguridad del software a nivel mundial a través de diversos medios. Opera como una comunidad abierta y en línea, donde cualquier persona interesada puede aportar a la producción de material en el campo de la seguridad de las aplicaciones web y se beneficia de la información disponible en cuanto a seguridad. En la búsqueda de vulnerabilidades, las compañías y los profesionales de las áreas a cargo de ciberseguridad y tecnología deben tener en cuenta que la automatización en la búsqueda no es suficiente para proteger sus sistemas, por lo tanto, el conocimiento de expertos humanos permite una protección más completa frente a ataques. 

Lucas Leonardi

Community Manager ITSitio.com, productor de contenidos y analista de marketing digital.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
X