Empresas de la lista blanca de aplicaciones empresariales Bit 9 La semana pasada se emitió un llamativo comunicado de prensa, y el documento solo circuló durante unos días hasta que las recientes fallas de Internet Explorer salieron a la luz y Mozilla lanzó algunas actualizaciones de Firefox.
Finalmente, el problema llegó a un punto crítico, lo que llevó a Mozilla a abordar el informe Bit9 en su blog Mozilla Security.
Toot Toot
Bit9 también publicó su clasificación anual de amenazas: el «Top 12» de las aplicaciones más populares de 2008 con graves vulnerabilidades de seguridad.
Bit9 se adhiere a varios criterios: las aplicaciones que selecciona deben ser aplicaciones reales que los usuarios finales utilicen regularmente, en lugar de malware o aplicaciones esotéricas.
Según Bit9, estas aplicaciones a menudo se ejecutan fuera del conocimiento o control del departamento de TI, lo que las hace difíciles de detectar, y agrega que crean riesgos de fuga de datos en puntos finales que de otro modo serían seguros.
Cinco aplicaciones en la Docena Sucia de Bit9:
- Mozilla Firefox, versiones 2.x y 3.x
- Adobe Acrobat, versiones 8.1.2 y 8.1.1
- Microsoft Windows Live (MSN) Messenger, versiones 4.7 y 5.1
- Apple iTunes, versiones 3.2 y 3.1.2
- Skype, versión 3.5.0.248
Más específicamente, Bit9 informa que cada aplicación de la lista tiene las siguientes características:
- Ejecutado en Microsoft Windows.
- Es bien conocido en el ámbito del consumidor y los particulares lo descargan con frecuencia.
- No clasificado como malicioso por las organizaciones de TI empresariales ni por los proveedores de seguridad.
- Contiene al menos una vulnerabilidad crítica reportada o registrada por primera vez en los Estados Unidos a partir de enero de 2008. Instituto Nacional de Estándares y Tecnología(NIST) Base de datos oficial de vulnerabilidadesy recibió una calificación de gravedad «alta» (entre 7,0 y 10,0) en el Sistema de puntuación de vulnerabilidad común (CVSS).
- Confíe en los usuarios finales, en lugar de en los administradores de TI centrales, para parchear o actualizar manualmente el software para eliminar vulnerabilidades, si dichos parches existen.
- La aplicación no se puede actualizar automáticamente de forma centralizada a través de herramientas empresariales gratuitas como Microsoft SMS o WSUS (Window Server Update Service).
«Año tras año, vemos que cada vez más aplicaciones en toda la empresa crean vulnerabilidades de seguridad que pueden abordarse mediante una mejor visibilidad entre los puntos finales y un proceso de gestión de parches más centrado», afirmó Harry Sverdlove, director de tecnología de Bit9.
Los dos últimos criterios (que las aplicaciones dependan del usuario final y no puedan actualizarse automáticamente o fácilmente de forma centralizada) parecen ser los mayores problemas. Firefox de Mozilla envía actualizaciones de seguridad directamente a los usuarios finales a través de Internet, lo que dificulta que los departamentos de TI controlen los parches de seguridad o garanticen que todos los escritorios que ejecutan Firefox estén parcheados.
Entonces, ¿qué salió mal exactamente aquí?
Mozilla Human Shield Johnathan Nightingale señaló en el blog de seguridad de Mozilla: «Aunque siempre nos alegra ver historias centradas en educar a los usuarios sobre la seguridad, hay algunos problemas con el enfoque de Bit9 que le impiden sacar conclusiones significativas. La capacidad de sacar conclusiones .
«Bit9 dijo que desarrolló esta lista identificando aplicaciones populares con vulnerabilidades graves reportadas en 2008. Esta es una prueba ineficaz porque recompensa a las empresas de software por ocultar vulnerabilidades de seguridad», añadió.
Además, Nightingale señaló: «Bit9 parece entender esto ya que se centra en el soporte de actualización de aplicaciones, pero nuevamente no tiene en cuenta la experiencia del mundo real. Firefox no proporciona actualizaciones de WSUS, pero nuestro mecanismo de actualización integrado no requiere que el usuario intervención, y vemos constantemente una adopción del 90% dentro de los seis días posteriores al lanzamiento de nuevas actualizaciones.
Sin embargo, en la empresa, ¿la aplicación de parches por parte del usuario final supone un riesgo para la seguridad?
«La administración central y los informes son casi siempre más seguros que las actualizaciones impulsadas por el usuario final. Las actualizaciones de usuario final funcionan bien para usuarios informados y conscientes de la seguridad, pero cualquier organización de tamaño mediano a grande debería buscar administrar de manera centralizada las vulnerabilidades y los parches. «, dijo el analista de seguridad de Sophos, Michael Argast, a LinuxInsider.
«Sólo se puede esperar que un pequeño porcentaje de usuarios preste atención y se preocupe por la seguridad», añadió.
¿Cómo van las cosas últimamente? Crisis de seguridad de IE? Los parches de IE se pueden aplicar de forma centralizada.
«La situación con IE ha sido un poco anómala últimamente, ya que había una vulnerabilidad conocida en el área que estaba siendo explotada activamente antes de que estuviera disponible cualquier tipo de parche», dijo Argast.
«En estos casos, es necesario cambiar a un sistema menos vulnerable, cambiar el comportamiento (restringir el acceso a la navegación) o utilizar otros mecanismos para proporcionar protección. Un buen ejemplo de mecanismos alternativos es el comportamiento de protección de las empresas anti-malware, la empresa podría bloquear explota hasta que haya un parche disponible y haya desactivado la protección del comportamiento.
Aún así, «en casi todos los casos, las empresas pueden lograr una mejor protección de base amplia a través de una gestión centralizada en lugar de depender de la actividad impulsada por el usuario final. Las aplicaciones en sí son importantes, pero ahora existen muchos vectores de ataque diferentes: sistemas operativos, navegadores, aplicaciones de ayuda del navegador (como QuickTime), incluso depender de los usuarios finales para mantener aplicaciones relativamente seguras supone una carga excesiva para el usuario.
ninguna respuesta única
No todo el mundo está de acuerdo en que el control centralizado del proceso de actualización sea el mejor o el único enfoque. Incluso con Firefox, las empresas pueden desactivar el proceso de actualización automática y enviar sus propios paquetes de actualización a través de su propia infraestructura de TI.
«Ahora que la TI central puede cerrarlo [automatic updates], No veo el problema», dijo el consultor de seguridad Rich Mogull a LinuxInsider. Sin embargo, Mogull reveló que actualmente está trabajando con Mozilla en un proyecto de métricas de seguridad.
¿Qué piensa Mogull sobre la vulnerabilidad de IE? ¿Pueden las empresas obtener una protección mejor y más rápida mediante la implementación para el usuario final en lugar de una implementación centralizada impulsada por TI?
«A menudo pueden hacer eso, pero a riesgo de usar un parche que no ha sido probado para su entorno», dijo Mogull. «Vemos que algunas organizaciones confían en los proveedores para actualizar parte de su software, pero en general las empresas quieren hacer al menos algunas pruebas de las aplicaciones clave antes de su implementación», añadió.
