Solo el 19% de los informes de vulnerabilidades procede de los programas de bug bounty
- Vulnerabilidades
Los programas de bug bounty no son la panacea, según un estudio de Veracode que sostiene que menos del 20% de los informes de vulnerabilidades procede de ellos. Otra de sus conclusiones, sin embargo, es que las compañías y los investigadores de seguridad están trabajando de forma más coordinada que nunca.
Según este nuevo trabajo de Veracode, los programas de bug bounty, que recompensan el trabajo de los investigadores de seguridad, obtienen la mayor parte de la atención cuando se habla de divulgación de vulnerabilidades, pero la realidad es que el atractivo de una remuneración económica no está detrás de la mayoría de estas divulgaciones.
La realidad es que casi la mitad (47%) de las organizaciones ha implementado programas de ‘bug bountie’, pero solo el 19% de los informes de vulnerabilidad proviene de ellos. “Aunque pueden formar parte de una estrategia de seguridad global, estos programas a menudo resultan ineficientes y costosos. Dado que la mayoría de los investigadores de seguridad están motivados principalmente por solucionar una vulnerabilidad en lugar de por dinero, las organizaciones deberían considerar enfocar sus recursos limitados en el desarrollo de software seguro que encuentre vulnerabilidades dentro de su ciclo de vida”, sostiene el informe.
Los resultados de este estudio global sobre divulgación de vulnerabilidades de software, “Explorando la Divulgación Coordinada” revelan que, hoy en día, prácticamente todas las compañías de software y los investigadores de seguridad opinan que revelar vulnerabilidades para mejorar la seguridad del software es bueno para todos. En concreto, el 90% de los encuestados confirmó que el descubrimiento de vulnerabilidades "de forma pública sirve a un propósito más amplio de mejorar la forma en que se desarrolla, usa y repara el software".
Y esto, señalan los autores, representa un punto de inflexión en la industria: el reconocimiento de que las vulnerabilidades que no son abordadas generan un enorme riesgo con consecuencias negativas para los intereses de negocio, los consumidores e incluso para la estabilidad económica global.
El informe indica que más de un tercio de las empresas recibió un informe de divulgación de vulnerabilidad no solicitada en los últimos doce meses, lo que representa una oportunidad para trabajar junto con quien ha enviado dicho informe para corregir la vulnerabilidad y luego hacerla pública, mejorando así la seguridad general. Para aquellas organizaciones que recibieron un informe de vulnerabilidad no solicitado, el 90% de las vulnerabilidades se reveló de manera coordinada entre los investigadores de seguridad y la organización.
Según el documento, los investigadores de seguridad son generalmente razonables y se encuentran motivados por el deseo de mejorar la seguridad por el bien de todos. El 57% de ellos espera que se les informe cuando se corrige una vulnerabilidad, el 47% aspira a recibir actualizaciones periódicas sobre la corrección y al 37% le gustaría validar la solución. Solo el 18% de los encuestados espera una remuneración económica y el 16% busca el reconocimiento por su hallazgo.
Otra de las conclusiones es que las expectativas de los investigadores de seguridad sobre el tiempo de reparación no son siempre realistas. Después de informar de una vulnerabilidad, los datos muestran que el 65% de los investigadores de seguridad espera una solución en menos de 60 días.
Este cronograma podría ser demasiado agresivo e incluso poco realista cuando se compara con el informe más reciente de Veracode, State of Software Security Volume 9, que recoge que más del 70% de todas las brechas permanece activa un mes después de su descubrimiento y casi el 55% lo sigue estando tres meses después. La investigación también muestra que las entidades están centradas en corregir y revelar los fallos de manera responsable y se les debe dar un tiempo razonable para hacerlo.
