Compañías e investigadores de seguridad ¿más coordinados que nunca?

El aumento de los ciberataques obliga tanto a empresas como a investigadores a acelerar su rutina de búsqueda de fallos y vulnerabilidades. La nueva realidad en la que nos encontramos, con cada vez más objetos conectados y, por tanto, más datos, supone un reto en materia de ciberseguridad en nuestro país. Es por ello que, cada vez más, la colaboración público-privada y la cooperación entre expertos y empresas se hace vital.

Para analizar y entender cómo se acepta y se practica el concepto de “divulgación coordinada”, Veracode ha realizado el estudio Exploring coordinated disclosure. En este estudio se analiza cómo las organizaciones y los investigadores de seguridad externos trabajan de forma conjunta cuando se identifican los fallos.

Según los encuestados del estudio, más de un tercio (37%) de las organizaciones han recibido avisos de investigadores sin solicitarlo – es decir, sin que previamente hayan sido ellas las que hayan pedido una comprobación de la seguridad – y un 90% de éstas asegura que las vulnerabilidades se divulgaron de manera coordinada entre investigadores y organizaciones de seguridad.

A pesar de estas cifras, quienes sí contrataron a un investigador de seguridad para cerciorarse de la seguridad de su software no creen que éste deba revelar los fallos (70%) y solo el 9% de los encuestados que identificaron una vulnerabilidad tomaron la decisión de ir por el camino de la discusión total y pública. Muchas organizaciones aún temen la divulgación total de la vulnerabilidad por miedo a problemas de reputación, entre otros.

Esto representa un punto de inflexión en la industria: el reconocimiento de que las vulnerabilidades que no son abordadas generan un enorme riesgo con consecuencias negativas para los intereses de negocio, los consumidores e incluso para la estabilidad económica global.

El desafío es que las políticas de divulgación de vulnerabilidades son muy inconsistentes” asegura el CTO y cofundador de Veracode, Chris Wysopal. “Si los investigadores no están seguros de cómo proceder cuando encuentran una de ellas, esto deja a las organizaciones expuestas ante amenazas de seguridad y les da a los criminales la oportunidad de explotarlas. Por suerte, hoy tenemos herramientas y procesos para encontrar y reducir errores en el software durante el proceso de desarrollo. Pero incluso con estas herramientas, se encuentran nuevas vulnerabilidades todos los días. Una política de divulgación sólida es una parte necesaria de la estrategia de seguridad de cualquier organización y permite a los investigadores trabajar con las empresas para reducir su exposición. Una buena política de divulgación de vulnerabilidades deberá tener instaurados procedimientos para trabajar con investigadores de seguridad externos, establecer expectativas sobre los plazos y resultados de reparación, y probar defectos y corregir el software antes de que éste salga a la luz”, añade.

Los hallazgos clave de la investigación incluyen:

  • Las divulgaciones de vulnerabilidades no solicitadas se dan regularmente. El informe indica que más de un tercio de las empresas recibió un informe de divulgación de vulnerabilidad no solicitada en los últimos 12 meses, lo que representa una oportunidad para trabajar junto con quien ha enviado dicho informe para corregir la vulnerabilidad y luego hacerla pública, mejorando así la seguridad general. Para aquellas organizaciones que recibieron un informe de vulnerabilidad no solicitado, el 90% de las vulnerabilidades se reveló de manera coordinada entre los investigadores de seguridad y la organización. Esto evidencia un cambio significativo en la mentalidad de que trabajar de forma colaborativa es el enfoque más efectivo hacia la transparencia y una mejora de la seguridad.
  • Los investigadores de seguridad están motivados por el bien común. El 57% de ellos espera que se les informe cuando se corrige una vulnerabilidad, el 47% aspira a recibir actualizaciones periódicas sobre la corrección y al 37% le gustaría validar la solución. Solo el 18% de los encuestados espera una remuneración económica y el 16% busca el reconocimiento por su hallazgo.
  • Colaboración entre organizaciones para resolver problemas. De manera prometedora, tres de cada cuatro compañías dijo tener un método establecido para recibir un informe de un investigador de seguridad y el 71% de los desarrolladores considera que los investigadores de seguridad deberían poder realizar pruebas no solicitadas. Esto puede parecer contradictorio, ya que los desarrolladores se verían más afectados por la interrupción de su flujo de trabajo para hacer una reparación de emergencia; sin embargo, los datos muestran que ellos mismos ven la divulgación coordinada como parte de su proceso de desarrollo seguro, esperan que su trabajo sea probado fuera de la organización y están listos para responder a los problemas que se identifican.
  • Las expectativas de los investigadores de seguridad sobre el tiempo de reparación no son siempre realistas. Después de informar de una vulnerabilidad, los datos muestran que el 65% de los investigadores de seguridad espera una solución en menos de 60 días. Este cronograma podría ser demasiado agresivo e incluso poco realista cuando se compara con el informe más reciente de Veracode, State of Software Security Volume 9, que recoge que más del 70% de todas las brechas permanece activa un mes después de su descubrimiento y casi el 55% lo sigue estando tres meses después. La investigación también muestra que las entidades están centradas en corregir y revelar los fallos de manera responsable y se les debe dar un tiempo razonable para hacerlo.
  • Los programas de ‘bug bountie’ no son la panacea. Casi la mitad (47%) de las organizaciones ha implementado programas de ‘bug bountie’, pero solo el 19% de los informes de vulnerabilidad proviene de ellos. Si bien pueden formar parte de una estrategia de seguridad global, estos programas a menudo resultan ineficientes y costosos. Dado que la mayoría de los investigadores de seguridad están motivados principalmente por solucionar una vulnerabilidad en lugar de por dinero, las organizaciones deberían considerar enfocar sus recursos limitados en el desarrollo de software seguro que encuentre vulnerabilidades dentro de su ciclo de vida.

La entrada Compañías e investigadores de seguridad ¿más coordinados que nunca? aparece primero en Globb Security.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.