¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

La divulgación de la vulnerabilidades puede ser un tema polémico porque los proveedores prefieren mantenerlas en secreto hasta que tengan un parche listo para distribuir a los usuarios. Por el contrario, los investigadores y profesionales de la seguridad, así como las empresas cuyos datos o sistemas pueden estar en riesgo, prefieren que las divulgaciones se hagan públicas lo más pronto posible.

En lo que respecta a la divulgación de vulnerabilidades, existen varios grupos diferentes de interesados, cada uno de los cuales tiene diferentes prioridades. En primer lugar, están los proveedores, desarrolladores o fabricantes de los sistemas o servicios vulnerables que preferirían que se revelaran solo a ellos mismos y se hicieran públicas solo después de que se introdujeran los parches.

Los usuarios de los productos o servicios vulnerables forman otro grupo de partes interesadas; prefieren que los sistemas que usan sean emparchados lo más rápido posible. Sin embargo, si no se puede reparar una vulnerabilidad antes de que los atacantes comiencen a explotarla, se recomienda divulgarla siempre que haya otras formas de mitigarla o eliminarla.

Finalmente, están los investigadores de seguridad los que descubren las vulnerabilidades. En general, su preferencia es que las vulnerabilidades se corrijan rápidamente para que puedan publicar detalles de las vulnerabilidades que descubrieron.

Tipos de divulgación de vulnerabilidad

La revelación responsable es un enfoque que numerosos proveedores e investigadores han utilizado durante muchos años. Bajo un protocolo de divulgación responsable, los investigadores informan a los proveedores del sistema acerca de las vulnerabilidades y les brindan plazos razonables para investigarlos y solucionarlos. Luego, una vez que el software ha sido actualizado, proceden a la divulgación de vulnerabilidades.
Las pautas típicas de Divulgación de vulnerabilidades responsable permiten a los proveedores contar con 60 a 120 días para corregir una vulnerabilidad. En muchos casos, los proveedores negocian con los investigadores para modificar el cronograma y permitir más tiempo para corregir fallas difíciles.

En 2010, Microsoft intentó remodelar el panorama de la divulgación introduciendo un nuevo concepto de divulgación coordinada, también conocido como divulgación coordinada de vulnerabilidad (CVD), bajo el cual investigadores y proveedores trabajan juntos para identificar y corregir las vulnerabilidades y negociar una cantidad mutuamente aceptable de tiempo para parchear el producto e informar al público.

Si bien la divulgación de vulnerabilidades de alto perfil a menudo involucran a un proveedor o desarrollador responsable de los productos vulnerables y equipos de investigación a cargo de descubrir la vulnerabilidad, existen otras opciones de divulgación de vulnerabilidades que veremos a continuación.

Autorrevelación

Se produce cuando los fabricantes de productos con vulnerabilidades descubren los defectos y los hacen públicos, por lo general simultáneamente con parches de publicación u otras correcciones.

Divulgación de terceros

Ocurre cuando las partes que informan las vulnerabilidades no son los propietarios, autores o titulares de los derechos del hardware, software o sistemas. Las divulgaciones de terceros suelen ser realizadas por investigadores de seguridad que informan a los fabricantes, pero la divulgación de terceros también puede involucrar a una organización responsable como el Equipo de preparación para emergencias informáticas de los EE. UU. (CERT) en la Universidad Carnegie Mellon en Pittsburgh.

Revelación al proveedor

Sucede cuando los investigadores informan vulnerabilidades solo a los proveedores de la aplicación, que luego trabajan para desarrollar parches.

Divulgación completa

Ocurre cuando una vulnerabilidad se libera en forma pública, a menudo tan pronto como se conocen los detalles de la misma.

Políticas y directrices de divulgación de vulnerabilidades

Una política de divulgación de vulnerabilidades conocida como VDP, siglas del inglés Vulnerability Disclosure Policy, tiene como objetivo proporcionar pautas claras para enviar vulnerabilidades de seguridad a las organizaciones. Una VDP ofrece una forma para que las personas informen vulnerabilidades en los productos o servicios de una compañía. Debe contener los siguientes componentes:

Promesa de marca

Permite que una empresa demuestre su compromiso con la seguridad a clientes y otras personas potencialmente afectadas por una vulnerabilidad al garantizar a los usuarios y al público que la seguridad es importante. La compañía describe qué trabajo ha hecho en relación con las vulnerabilidades, así como qué espera hacer en el futuro.

Programa inicial y alcance

Indica qué sistemas y capacidades son objetivos legítimos y cuáles no para las personas y grupos que encuentran e informan nuevas vulnerabilidades. Por ejemplo, una empresa puede alentar la presentación de todos los sitios que posee, pero excluye explícitamente los sitios web de los clientes alojados en su infraestructura.

Preferencias y prioridades de envío no vinculante

Establece expectativas de preferencias y prioridades sobre cómo una empresa evaluará los informes. También les permite a los investigadores saber qué tipos de problemas se consideran importantes. Típicamente, el equipo de soporte e ingeniería de una organización mantiene este documento dinámico.

En sus VDP, las empresas también pueden informar a los buscadores cuándo pueden hablar públicamente sobre las vulnerabilidades. Por ejemplo, una organización puede afirmar que un buscador no puede revelar públicamente la vulnerabilidad:

  • Hasta que se arregle.
  • Hasta que haya transcurrido un cierto período de tiempo desde que se presentó por primera vez un informe.
  • Hasta que el buscador haya dado a la organización X días de aviso

Excepto en un cronograma acordado mutuamente (o negociado) que puede modificarse como parte del proceso con la parte divulgadora.

Por ejemplo, las vulnerabilidades informadas al CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon se envían a los proveedores afectados “tan pronto como sea posible después de recibir el informe”.

Actualmente, los investigadores de seguridad no acuerdan exactamente qué constituye “una cantidad de tiempo razonable” para permitir a un proveedor corregir una vulnerabilidad antes de la divulgación pública completa. La mayoría de los vendedores de la industria generalmente aceptan que sea aceptable un plazo de 90 días. En 2010, Google recomendó un plazo de 60 días para corregir una vulnerabilidad antes de la revelación pública completa, siete días para las vulnerabilidades críticas de seguridad y menos de siete días para las vulnerabilidades críticas que se explotan activamente. Sin embargo, en 2015 Google amplió ese plazo a 90 días para su programa Project Zero.

Proceso de divulgación de vulnerabilidad

Aunque no existe un estándar formal en la industria cuando se trata de reportar vulnerabilidades, las revelaciones generalmente siguen los mismos pasos básicos:

  • Un investigador descubre una vulnerabilidad de seguridad y determina su impacto potencial. El buscador documenta la ubicación de la vulnerabilidad a través de fragmentos de código o capturas de pantalla.
  • El investigador desarrolla un informe de asesoramiento de vulnerabilidad que detalla la misma e incluye evidencia de apoyo, así como un calendario de divulgación completa. Luego, el investigador envía de forma segura este informe al proveedor.
  • Por lo general, el investigador le permite al proveedor una cantidad de tiempo razonable para investigar y corregir la vulnerabilidad de acuerdo con el calendario de divulgación completa de asesoramiento.
  • Una vez que un parche está disponible o la línea de tiempo para la divulgación (y cualquier extensión) ha transcurrido, el investigador publica un análisis de divulgación completo del exploit, que incluye una explicación detallada de la vulnerabilidad, su impacto y la resolución.
Fuente: Linda Rosencrance, Search Security, Techtarget.

Traducido y adaptado por la División Consultoría de EvaluandoSoftware.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!

Share This