martes, 15 de septiembre de 2009

Las compañías arreglan los sistemas operativos, pero deberían centrarse en las aplicaciones

Todo parece indicar que las empresas son mucho más lentas a la hora de solucionar los problemas de seguridad de sus aplicaciones que de sus sistemas operativos, incluso aunque sepan que los atacantes se centran, sobre todo, en las primeras.

Ahora sabemos qué vulnerabilidades están resueltas y cuáles no”, explica Alan Paller, director de investigación del SANS Institute. El informe, “The Top Cyber Security Risks”, está basado en datos recopilados entre marzo y agosto y ha sido el resultado de un esfuerzo colaborativo entre SANS, TippingPoint y Qualys. El grupo analizó seis meses de datos relacionados con ataques on-line, recogidos en 6.000 empresas. Para ello, se utilizó el sistema de prevención de intrusiones TippingPoint, junto con datos relacionados con más de 100 millones de análisis de vulnerabilidades descubiertas en 9.000 clientes del servicio de evaluación de vulnerabilidades de Qualys.

El informe muestra cómo el 80 por ciento de las vulnerabilidades de los sistemas operativos de Microsoft se resuelven en 60 días, pero sólo se resuelve el 40 por ciento de las aplicaciones, como Office y Adobe. Mientras tanto, la mayor parte de los ataques on-line se dirigen a las aplicaciones, particularmente a aplicaciones cliente, convirtiéndolas en el número uno de las prioridades citadas por el informe.

Durante el período de estudio, más del 60 por ciento de los intentos de ataque monitorizados por TippingPoint se realizaron contra aplicaciones Web con el objeto de convertir páginas Web fiables en maliciosas, infectando con malware y código de ataque a aplicaciones clientes vulnerables.

En términos de tendencias en explotación de fallos y vulnerabilidades, los métodos más populares son los intentos de conseguir por contraseñas, siendo los servidores Microsoft SQL, FTP y SSH los objetivos más populares.

Algunas de las principales vulnerabilidades atacadas son la descarga de archivos de imágenes QuickTime de Apple (CVE-20009-0007); WordPad de Microsoft y Office Text Converter Remote Code Execution Vulnerability (MS09-010); así como múltiples ejemplos del Java de Sun.

Las vulnerabilidades de día cero, que ocurren cuando un fallo en el código de software es descubierto y aparece antes de que haya una solución para él, son muy populares. De hecho, este informe concluye señalando que descubrir vulnerabilidades de día cero parece cada vez más sencillo, “como resultado directo de un incremento global en el número de personas que cuentan con capacidades suficientes como para descubrirlos en todo el mundo”.

vulnerabilidades en las empresas

No hay comentarios: