Windows: menos vulnerabilidades y menos días de riesgo


Jeff Jones publicó su nuevo reporte bianual analizando vulnerabilidades y “días de riesgo”, es decir el tiempo entre el conocimiento público de la brecha y la disponibilidad de la actualización, para sistemas Red Hat, Ubuntu, Apple y Microsoft.

Algunos quizás hayan visto este reporte en el pasado y sepan que Jones trabaja en Microsoft y construye este reporte empleando toda la documentación pública disponible por parte de los vendors, la base nacional de vulnerabilidades de Estados Unidos (NVD) y verificaciones cruzadas con otros sitios de seguridad como www.securityfocus.com, Bugtraq, www.secunia.com, www.securitytracker.com, entre otros.

Los hallazgos de este reporte me resultaron alentadores porque muestran que la práctica de comunicar ampliamente las vulnerabilidades y actualizaciones, como hicimos la semana pasada desde Microsoft, tiene un efecto positivo en mitigar el riesgo de ataques. Las principales conclusiones de la primera mitad del año son las siguientes:

  • Las 4 empresas resolvieron un total de 585 vulnerabilidades en el primer semestre. Un 26,8% afectó varias empresas y de esas, sólo 8 fueron resueltas en el mismo día. El restó tomó un promedio de 35 días entre la primera y última actualización disponible.
  • Microsoft tuvo la menor cantidad de días de riesgo en promedio con 24,22 días, 72 días menos que la segunda empresa en cantidad de días.
  • En sistemas de escritorio, Windows Vista tuvo la menor cantidad de vulnerabilidades en el semestre, con 21. El siguiente número más bajo fue Windows XP SP2 con 26.
  • Los clientes de Windows Vista recibieron mitigación parcial o total para 46% de las 26 vulnerabilidades que tuvo Windows XP SP2 en el período, pero también tuvieron una vulnerabilidad adicional en código nuevo.

Además de estas métricas para empresas y productos individuales, el reporte también provee un análisis ponderado por la severidad de los incidentes, donde vulnerabilidades menos críticas tienen un peso menor en la evaluación. El reporte completo en inglés puede descargarse de aquí.

Les comparto el resumen gráficamente:

image

Donde obviamente menos es mejor!

Como siempre, comentarios bienvenidos!

Saludos, Christian.-

Comments (11)

  1. Anonymous says:

    Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  2. Anonymous says:

    Hola a todos, escribe Christian Linacre para contarles que el día de hoy hemos liberado la quinta versión

  3. Anonymous says:

    Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  4. Anonymous says:

    Nuestro buen amigo Christian Linacre publico el dia de hoy un excelente post sobre seguridad. Source

  5. Anonymous says:

    Nery, Juan,

    gracias por los comentarios.

    Si leen el estudio completo este dice claramente que está comparando el primer semestre del 2008.

    Como Ubuntu saco la versión nueva 8.04 LTS el 21 de Abril no se puede comparar con esa sino que con la anterior.

    El detalle sobre Ubuntu está en las páginas 22 a la 24 del reporte.

    Además una corrección, estoy hablando de Cantidad de Vulnerabilidades y Días de Riesgo, no de "Seguridad" que puede ser una métrica subjetiva.

    Los invito a leer el reporte en detalle y luego volver a comentar 🙂

    Saludos, Christian.

  6. Anonymous says:

    @Juan Carlos,

    muchas gracias por los comentarios.

    Saludos, Christian.-

  7. Anonymous says:

    Excelente noticia la replicare en mi blog y para la comunidad.

  8. Juan Gonzalez says:

    Saludo fijate ala verdad estaba viendo la tabla esa pero en realidad windows es mas vulnerable que ubuntu y mac y RED HAT LINUX  como siempre microsoft siempre pone esas cosas para que los usuaeios deje de usar mac ubuntu pero yo soy usuario de ubuntu aunque avese siempre uso xp para trabajos mejor me que do con ubuntu 8.10 yes

  9. Nery Barba says:

    Ubuntu es mas seguro que cualquiera de los dos y microsoft lo sabe. La comparacion la hace con ubuntu viejito, no con las versiones actuales asi que la noticia es como muy dudosa.

  10. nelson says:

    la verdad no hay como xp….vista quedara olvidado como los demas sistemas operativos, la idea es controlar el sistema operativo y no sentir que el nos controla xp lo mejor