Analisis de vulnerabilidades
Enviado por Pabel123 • 25 de Enero de 2019 • Apuntes • 1.133 Palabras (5 Páginas) • 61 Visitas
Introducción (Definición del tema)
Este ensayo está basado en el artículo The Economics of Information Security, el contiene diferentes aspectos relacionados con la economía enfocada hacia la seguridad de la información, lo cual no es un tema común de abordar. En este artículo destaco el tema del desarrollo del software, como se publican las vulnerabilidades y si es rentable para las empresas de desarrollo de software el enfocarse a desarrollar software seguro y si el comportamiento del mercado pudiera estar asociado a tener software inseguro.
Objetivo
Analizar cómo se publican las vulnerabilidades e identificar si se tiene alguna tendencia a seguir teniendo software vulnerable y si existe algún motivo económico relacionado con este comportamiento.
Desarrollo
(Principales trabajos y estudios hasta la fecha y Juicio sobre el grado de conocimiento actual del tema)
Basado en la experiencia a continuación, desarrollo el tema. Las vulnerabilidades actualmente son manejadas de diferentes formas, y el factor principal involucrado es el tiempo, ya que se pueden corregir más rápido que hace algunos años, lo cual evita que las empresas pudieran ser impactadas, esto debido a que hay diferentes maneras de reaccionar ante estas, con parches virtuales que proporcionan los IPS (Intrusion Prevention System), aunque en ocasiones este tipo de protecciones suelen generar falsos positivos, lo cual podría impactar negativamente a la operación. Adicionalmente también existen empresas que se dedican a tener servicios en la nube y aplican parches en minutos con soluciones como Automox. Otro punto relevante en el artículo The Economics of Information Security es que dicen que la publicación de las vulnerabilidades en diferentes medios ocasiona más dinamismo por parte de los responsables de los productos, por lo que a continuación en listo las maneras más comunes de publicar las vulnerabilidades:
1.- Usando sitios como GITHUB que permite publicar exploits de las vulnerabilidades en donde cualquier persona con acceso a Internet puede descargar los exploits, tal es el caso de esta vulnerabilidad en SAP NetWeaver AS JAVA su exploit está en GITHUB.
2.- El reporte The Economics of Information Security menciona dos firmas que compran vulnerabilidades, iDefense y Tipping Point, adicionalmente también conozco empresas tienen recompensas para las personas que encuentran vulnerabilidades, aunque en muchos de los casos no son monetarias sino solo de reconocimiento. Aunque hay traficantes de exploits como Zerodium, que compran y venden vulnerabilidades, por ejemplo, en 2015 ofreció 100, 000 dólares por una puerta trasera de iPhone. Algo similar esta haciendo la empresa Zimperium compra exploits dirigidos a vulnerabilidades de móviles iOS y Android y puede pagar hasta 1.5 Millones de dólares por este tipo de vulnerabilidades. Esta empresa está realizando este tipo de recabación de información debido que está alimentando la inteligencia para una herramienta que tiene como objetivo detectar vulnerabilidades en móviles, a diferencia de otras compañías que compran los exploits para después venderlas al mejor postor o en la Deep web. También en la revista Forbes en 2012 se publicaron algunos costos de lo que pude costar una vulnerabilidad de día cero, como se muestra a continuación:
Información proporcionada por Forbes
3.- A través del conocido Responsible disclosure que es utilizado en escenarios donde se debe avisar al fabricante antes de publicar la vulnerabilidad para dar tiempo a que el fabricante genere un parche, ya que sino se hace esto no se daría tiempo suficiente para que los fabricantes generaran el parche y mucho menos para que las empresas tomarán acciones para poder parchar
...