Vulnerabilidades heredadas, las grandes olvidadas en la seguridad de la empresa

Las organizaciones deberían ser conscientes de que codificar software seguro no vale de nada cuando se siguen empleando componentes de código abierto con vulnerabilidades.

En el proceso de implantación de un Ciclo de Vida de Desarrollo Software Seguro (SSDLC), aún es común encontrarse con desarrolladores de software o con empresas que incorporan en sus sistemas corporativos software desarrollado por terceros que obvian las vulnerabilidades directamente heredadas por el uso de componentes de código abierto (Open Source Software – OSS).

La situación es grave, ya que desde el momento que se publica una vulnerabilidad en un componente de código abierto hasta que se resuelve, los sistemas que empleen dicho componente permanecen expuestos.

Los hackers tienen acceso a las vulnerabilidades publicadas por el NIST en la NVD (National Vulnerability database), por lo que tan solo tienen que elegir y decidir en cuál de ellas centrarse. Cuentan con una carta muy extensa, integrada por más de 30.000 vulnerabilidades. Aparte de utilizarlas para sus actividades delictivas, hay algunos que adoptan un papel más didáctico, subiendo vídeos a YouTube en los que muestran al resto del mundo cómo explotar una determinada vulnerabilidad.

Según datos facilitados por Blackduck, ahora Synopsis, basados en los resultado de miles de análisis reales, la situación es alarmante:

• El 92% de las vulnerabilidades se encuentran en el software
• El 84% de los ataques ocurren en la capa de aplicación
• El 67% de las aplicaciones contienen vulnerabilidades ya conocidas y públicas
• El 40% de las vulnerabilidades detectadas en cada aplicativo son de nivel severo
• El 100% de las empresas analizadas no son conscientes de todo el software de código abierto que emplean
• Las vulnerabilidades de código abierto tardan en resolverse una media de 1.894 días. En los análisis que hemos llevado a cabo en MTP durante 2017, hemos seguido detectando aún HeartBleed, una vulnerabilidad que lleva registrada desde 2014.
• Se detectan una media de 22,5 vulnerabilidades en cada aplicación. En MTP hemos llegado a descubrir 144 vulnerabilidades en una única aplicación.

Ante esta situación, cabría preguntarse por qué las organizaciones siguen empeñadas en destinar la mayor parte de su presupuesto a proteger el perímetro de su red, cuando está demostrado que la puerta de entrada preferida por los hackers son los aplicativos software.

En la actualidad, existen buenas soluciones comerciales capaces de detectar las vulnerabilidades de seguridad existentes en el software de código abierto y de instalar parches virtuales en tiempo real, para bloquear ciertos ataques en explotación hasta que una nueva versión del software resuelva las brechas de seguridad identificadas. Su adopción no es un tema baladí, y las organizaciones deberían marcarlo como algo prioritario porque, entre otros beneficios, ayudaría evitar fugas de información y, por tanto, a logra una implantación eficaz del nuevo Reglamento General de Protección de Datos personales.

Ver más historias