Empresas e investigadores de seguridad se alían para divulgar las vulnerabilidades

  • Seguridad

Empresas e investigadores de seguridad colaboran cada día más en la resolución de vulnerabilidades y en su divulgación conjunta, porque creen que es positivo. El 37% de las empresas han recibido avisos de este tipo de forma no solicitada, y un 90% de éstas asegura que las vulnerabilidades se divulgaron de manera coordinada entre ambas partes.

Los resultados de un estudio global de Veracode sobre divulgación de vulnerabilidades de software, “Explorando la Divulgación Coordinada” revelan que, hoy en día, prácticamente todas las compañías de software y los investigadores de seguridad opinan que revelar vulnerabilidades para mejorar la seguridad del software es bueno para todos. En concreto, el 90% de los encuestados confirmó que el descubrimiento de vulnerabilidades "de forma pública sirve a un propósito más amplio de mejorar la forma en que se desarrolla, usa y repara el software".

Y esto, señalan los autores, representa un punto de inflexión en la industria: el reconocimiento de que las vulnerabilidades que no son abordadas generan un enorme riesgo con consecuencias negativas para los intereses de negocio, los consumidores e incluso para la estabilidad económica global.

El informe indica que más de un tercio de las empresas recibió un informe de divulgación de vulnerabilidad no solicitada en los últimos doce meses, lo que representa una oportunidad para trabajar junto con quien ha enviado dicho informe para corregir la vulnerabilidad y luego hacerla pública, mejorando así la seguridad general. Para aquellas organizaciones que recibieron un informe de vulnerabilidad no solicitado, el 90% de las vulnerabilidades se reveló de manera coordinada entre los investigadores de seguridad y la organización.

Según el documento, los investigadores de seguridad son generalmente razonables y se encuentran motivados por el deseo de mejorar la seguridad por el bien de todos. El 57% de ellos espera que se les informe cuando se corrige una vulnerabilidad, el 47% aspira a recibir actualizaciones periódicas sobre la corrección y al 37% le gustaría validar la solución. Solo el 18% de los encuestados espera una remuneración económica y el 16% busca el reconocimiento por su hallazgo.

Este nuevo trabajo de Veracode pone de relieve que los programas de bug bounty, que recompensan el trabajo de los investigadores de seguridad, obtienen la mayor parte de la atención cuando se habla de divulgación de vulnerabilidades, pero la realidad es que el atractivo de una remuneración económica no está detrás de la mayoría de estas divulgaciones.

La realidad es que casi la mitad (47%) de las organizaciones ha implementado programas de ‘bug bountie’, pero solo el 19% de los informes de vulnerabilidad proviene de ellos. “Aunque pueden formar parte de una estrategia de seguridad global, estos programas a menudo resultan ineficientes y costosos. Dado que la mayoría de los investigadores de seguridad están motivados principalmente por solucionar una vulnerabilidad en lugar de por dinero, las organizaciones deberían considerar enfocar sus recursos limitados en el desarrollo de software seguro que encuentre vulnerabilidades dentro de su ciclo de vida”, sostiene el informe.

Otra de las conclusiones es que las expectativas de los investigadores de seguridad sobre el tiempo de reparación no son siempre realistas. Después de informar de una vulnerabilidad, los datos muestran que el 65% de los investigadores de seguridad espera una solución en menos de 60 días.

Este cronograma podría ser demasiado agresivo e incluso poco realista cuando se compara con el informe más reciente de Veracode, State of Software Security Volume 9, que recoge que más del 70% de todas las brechas permanece activa un mes después de su descubrimiento y casi el 55% lo sigue estando tres meses después. La investigación también muestra que las entidades están centradas en corregir y revelar los fallos de manera responsable y se les debe dar un tiempo razonable para hacerlo.