Las empresas y los investigadores de seguridad trabajan de forma más coordinada
90 por ciento de los encuestados cree que la divulgación coordinada de vulnerabilidades es de interés público.
Veracode, compañía líder en dotar de seguridad al software, ha publicado los resultados de una encuesta global sobre divulgación de vulnerabilidades de software, Explorando la Divulgación Coordinada, que analiza las actitudes, políticas y expectativas asociadas a cómo las organizaciones y los investigadores de seguridad externos trabajan de forma conjunta cuando se identifican los fallos.
El estudio revela que, hoy en día, prácticamente todas las compañías de software y los investigadores de seguridad opinan que revelar vulnerabilidades para mejorar la seguridad del software es bueno para todos. En concreto, el informe señala que el 90% de los encuestados confirmó que el descubrimiento de vulnerabilidades "de forma pública sirve a un propósito más amplio de mejorar la forma en que se desarrolla, usa y repara el software". Esto representa un punto de inflexión en la industria: el reconocimiento de que las vulnerabilidades que no son abordadas generan un enorme riesgo con consecuencias negativas para los intereses de negocio, los consumidores e incluso para la estabilidad económica global.
"El alineamiento que revela el estudio es muy positivo", señala el CTO y cofundador de Veracode, Chris Wysopal. “Sin embargo, el desafío es que las políticas de divulgación de vulnerabilidades son muy inconsistentes. Si los investigadores no están seguros de cómo proceder cuando encuentran una de ellas, esto deja a las organizaciones expuestas ante amenazas de seguridad y les da a los criminales la oportunidad de explotarlas. Por suerte, hoy tenemos herramientas y procesos para encontrar y reducir errores en el software durante el proceso de desarrollo. Pero incluso con estas herramientas, se encuentran nuevas vulnerabilidades todos los días. Una política de divulgación sólida es una parte necesaria de la estrategia de seguridad de cualquier organización y permite a los investigadores trabajar con las empresas para reducir su exposición. Una buena política de divulgación de vulnerabilidades deberá tener instaurados procedimientos para trabajar con investigadores de seguridad externos, establecer expectativas sobre los plazos y resultados de reparación, y probar defectos y corregir el software antes de que éste salga a la luz”, añade.
Los hallazgos clave de la investigación incluyen:
· Las divulgaciones de vulnerabilidades no solicitadas se dan regularmente. El informe indica que más de un tercio de las empresas recibió un informe de divulgación de vulnerabilidad no solicitada en los últimos 12 meses, lo que representa una oportunidad para trabajar junto con quien ha enviado dicho informe para corregir la vulnerabilidad y luego hacerla pública, mejorando así la seguridad general. Para aquellas organizaciones que recibieron un informe de vulnerabilidad no solicitado, el 90% de las vulnerabilidades se reveló de manera coordinada entre los investigadores de seguridad y la organización. Esto evidencia un cambio significativo en la mentalidad de que trabajar de forma colaborativa es el enfoque más efectivo hacia la transparencia y una mejora de la seguridad.
· Los investigadores de seguridad están motivados por el bien común. El estudio muestra que los investigadores de seguridad son generalmente razonables y se encuentran motivados por el deseo de mejorar la seguridad por el bien de todos. El 57% de ellos espera que se les informe cuando se corrige una vulnerabilidad, el 47% aspira a recibir actualizaciones periódicas sobre la corrección y al 37% le gustaría validar la solución. Solo el 18% de los encuestados espera una remuneración económica y el 16% busca el reconocimiento por su hallazgo.
· Colaboración entre organizaciones para resolver problemas. De manera prometedora, tres de cada cuatro compañías dijo tener un método establecido para recibir un informe de un investigador de seguridad y el 71% de los desarrolladores considera que los investigadores de seguridad deberían poder realizar pruebas no solicitadas. Esto puede parecer contradictorio, ya que los desarrolladores se verían más afectados por la interrupción de su flujo de trabajo para hacer una reparación de emergencia; sin embargo, los datos muestran que ellos mismos ven la divulgación coordinada como parte de su proceso de desarrollo seguro, esperan que su trabajo sea probado fuera de la organización y están listos para responder a los problemas que se identifican.
· Las expectativas de los investigadores de seguridad sobre el tiempo de reparación no son siempre realistas. Después de informar de una vulnerabilidad, los datos muestran que el 65% de los investigadores de seguridad espera una solución en menos de 60 días. Este cronograma podría ser demasiado agresivo e incluso poco realista cuando se compara con el informe más reciente de Veracode, State of Software Security Volume 9, que recoge que más del 70% de todas las brechas permanece activa un mes después de su descubrimiento y casi el 55% lo sigue estando tres meses después. La investigación también muestra que las entidades están centradas en corregir y revelar los fallos de manera responsable y se les debe dar un tiempo razonable para hacerlo.
· Los programas de ‘bug bountie’ no son la panacea. Según el informe de Veracode, estos programas obtienen la mayor parte de la atención cuando hablamos de divulgación, pero la realidad es que el atractivo de una remuneración económica no está detrás de la mayoría de las divulgaciones. Casi la mitad (47%) de las organizaciones ha implementado programas de ‘bug bountie’, pero solo el 19% de los informes de vulnerabilidad proviene de ellos. Si bien pueden formar parte de una estrategia de seguridad global, estos programas a menudo resultan ineficientes y costosos. Dado que la mayoría de los investigadores de seguridad están motivados principalmente por solucionar una vulnerabilidad en lugar de por dinero, las organizaciones deberían considerar enfocar sus recursos limitados en el desarrollo de software seguro que encuentre vulnerabilidades dentro de su ciclo de vida.