Jeff Jones publicó su nuevo reporte bianual analizando vulnerabilidades y “días de riesgo”, es decir el tiempo entre el conocimiento público de la brecha y la disponibilidad de la actualización, para sistemas Red Hat, Ubuntu, Apple y Microsoft.

Algunos quizás hayan visto este reporte en el pasado y sepan que Jones trabaja en Microsoft y construye este reporte empleando toda la documentación pública disponible por parte de los vendors, la base nacional de vulnerabilidades de Estados Unidos (NVD) y verificaciones cruzadas con otros sitios de seguridad como www.securityfocus.com, Bugtraq, www.secunia.com, www.securitytracker.com, entre otros.

Los hallazgos de este reporte me resultaron alentadores porque muestran que la práctica de comunicar ampliamente las vulnerabilidades y actualizaciones, como hicimos la semana pasada desde Microsoft, tiene un efecto positivo en mitigar el riesgo de ataques. Las principales conclusiones de la primera mitad del año son las siguientes:

  • Las 4 empresas resolvieron un total de 585 vulnerabilidades en el primer semestre. Un 26,8% afectó varias empresas y de esas, sólo 8 fueron resueltas en el mismo día. El restó tomó un promedio de 35 días entre la primera y última actualización disponible.
  • Microsoft tuvo la menor cantidad de días de riesgo en promedio con 24,22 días, 72 días menos que la segunda empresa en cantidad de días.
  • En sistemas de escritorio, Windows Vista tuvo la menor cantidad de vulnerabilidades en el semestre, con 21. El siguiente número más bajo fue Windows XP SP2 con 26.
  • Los clientes de Windows Vista recibieron mitigación parcial o total para 46% de las 26 vulnerabilidades que tuvo Windows XP SP2 en el período, pero también tuvieron una vulnerabilidad adicional en código nuevo.

Además de estas métricas para empresas y productos individuales, el reporte también provee un análisis ponderado por la severidad de los incidentes, donde vulnerabilidades menos críticas tienen un peso menor en la evaluación. El reporte completo en inglés puede descargarse de aquí.

Les comparto el resumen gráficamente:

image

Donde obviamente menos es mejor!

Como siempre, comentarios bienvenidos!

Saludos, Christian.-