¿Cuán vulnerables son las aplicaciones de software?

Publicación del inglés original Martes, 17 de junio de 2008 5:56 PM PST por Somasegar

En un informe de junio de 2007 (en inglés), la Oficina de Rendición de Cuentas del Gobierno de los EE.UU. (GAO - U.S. Government Accountability Office) describe el crimen cibernético como “un hecho que tiene un importante impacto económico y supone una amenaza para los intereses de seguridad nacional de los Estados Unidos de América”. También hace referencia a una encuesta del FBI en 2005 en la que se estima que las empresas estadounidenses perdieron 67.200 millones de dólares debido a crímenes cibernéticos y que las pérdidas asociadas con robos de identidad supusieron 49.300 millones de dólares en 2006.

A pesar de que todos entendemos que el crimen cibernético es grave, no tengo claro que haya un conocimiento amplio acerca de dónde somos más vulnerables.

Según el Informe de inteligencia sobre seguridad de Microsoft (en inglés - Microsoft Security Intelligence Report) de junio de 2007, menos del 10% las vulnerabilidades descubiertas durante junio de 2007 tenían como objetivo sistemas operativos. Con más del 90% de las vulnerabilidades destinadas a las aplicaciones, todas las organizaciones de desarrollo de software necesitan pensar realmente en la seguridad de las mismas.

Es importante tener en cuenta que los grandes proveedores no son los únicos cuyas aplicaciones están en el punto de mira. El informe de 2007 Sistemas de seguridad para Internet X-Force de IBM (en inglés - Internet Security Systems X-Force) descubrió que sólo el 13,6% de las 6.437 vulnerabilidades descubiertas en 2007 pertenecen a los cinco principales proveedores de software (Microsoft, Oracle, IBM, Apple y Cisco).

Una buena pregunta que hacerse en este contexto es “¿Qué está haciendo Microsoft para ayudar a los desarrolladores a crear aplicaciones más seguras?”

Al haberse convertido el software en objetivo de criminales cibernéticos, ahora más que nunca es importante hacer de la seguridad una parte integral del proceso de desarrollo de software. Desde el memorando Trustworthy Computing de Bill Gates de 2002, Microsoft ha incorporado la seguridad en su ciclo de desarrollo de software con el objetivo de proteger a sus clientes reduciendo el número y la gravedad de las vulnerabilidades en el código.

Echando la vista atrás, estoy muy contento de poder decir que Developer Division fue uno de los pioneros del SDL (Security Development Lifecycle - Seguridad en el ciclo de desarrollo) en Microsoft. Nuestro primer “refuerzo de la seguridad” se aplicó ya en 2001 como parte del .NET Common Language Runtime. El formato “refuerzo de la seguridad” se aplicó más tarde a otros productos de Microsoft y ha evolucionado hasta abarcar el ciclo de de desarrollo completo. En 2004 el SDL se convirtió en una práctica obligatoria para todos los productos de Microsoft (y, por supuesto, de DevDiv). Silverlight es un reciente y excelente ejemplo de cómo hemos aprovechado el SDL para mejorar la seguridad de nuestros productos. Al ser una plataforma Web innovadora y ampliamente utilizada, Silverlight se desarrolló con la máxima atención a la seguridad y privacidad de datos. El modelado de amenazas, un método para análisis de seguridad y riesgos de privacidad en la fase de diseño, fue ampliamente utilizado para identificar y mitigar los potenciales vectores de ataque en el marco de Silverlight. Después de la etapa de diseño, los modelos de amenaza se utilizaron para centrar los esfuerzos de seguridad durante las fases de codificación y pruebas del proceso de desarrollo. Al hacer hincapié en seguridad y privacidad al inicio y durante todas las fases de desarrollo, el equipo de Silverlight fue capaz no sólo de mejorar la seguridad, sino también de mejorar la calidad. Esto es en lo que consiste SDL para mí.

Microsoft SDL (en inglés) es el proceso de seguridad líder de la industria de software. SDL ha jugado un papel fundamental en cómo seguridad y privacidad forman parte del software y cultura de Microsoft. Mediante un enfoque holístico y práctico, SDL introduce privacidad y seguridad al principio y a lo largo de todo el proceso de desarrollo. Como las imágenes siguientes muestran claramente, SDL ha llevado a Microsoft a mejoras de seguridad medibles y ampliamente reconocidas en productos insignia como Windows Vista y SQL Server:

 

Con los ataques enfocándose a nivel de aplicación, Microsoft se compromete a apoyar un ecosistema informático más seguro y de confianza, poniendo a disposición de todos los desarrolladores el proceso, las herramientas y la formación que forman parte de SDL. Le animo a obtener más información acerca de Microsoft SDL (en inglés) y de cómo puede aprovechar los recursos y las recomendaciones de SDL para que la seguridad forme parte integrante de sus aplicaciones.

¡Namaste!