La investigación pagada capturó más del 90% de nuestros …



La investigación interna y los programas de recompensa de errores externos se combinaron para descubrir la gran mayoría de los problemas de seguridad informados en el software package de la empresa.

Por segundo año consecutivo, la gran mayoría de las vulnerabilidades (92%) encontradas en los productos de Intel provienen de las inversiones en seguridad de la compañía, específicamente los esfuerzos de investigación interna y recompensas de errores externos, declaró la compañía en un nuevo informe, publicado hoy.

De las 231 vulnerabilidades reportadas en los productos Intel en 2020, 109 problemas (47%) fueron encontrados por empleados de Intel, mientras que 105 (45%) fueron reportados por investigadores externos que participaron en un programa de recompensas por errores, según el informe de la compañía «2020 Merchandise Security » reporte. Si bien la compañía no detalló cuánto invirtió en los diferentes programas, Intel dijo que la compañía pagó un promedio de $ 800,000 al año por recompensas por errores.

La compañía planea continuar con su enfoque de seguridad múltiple, dice Jerry Bryant, director de comunicaciones de seguridad en el grupo Intel Platform Assurance and Security (PAS).

«La seguridad no es una inversión única», dice. «Debe pensarlo de manera más amplia a partir de las buenas prácticas de desarrollo de seguridad, incorporar eso en la mentalidad de su empresa, invertir en procesos de administración de vulnerabilidades y la investigación de seguridad en curso en sus productos, tanto en la versión preliminar como en el envío».

El informe destaca la creciente importancia de los programas de recompensas por errores para los desarrolladores de aplicaciones y software program. Ni siquiera hace cinco años, muchas empresas continuaron debatiendo la eficacia de los programas de recompensas por errores, pero la mayoría ha llegado a valorar sus relaciones con investigadores externos.

Intel comenzó su propio programa de recompensas por errores en 2018, cuando la compañía también lanzó su grupo Merchandise Assurance and Stability. El esfuerzo ha dado sus frutos. Si bien se reveló aproximadamente la misma cantidad de vulnerabilidades en los últimos dos años a través de programas internos y recompensas de errores externos, en 2020 se informó un tercio más de vulnerabilidades a través del programa de recompensas de errores: 105, frente a 70 en 2019.

Los investigadores externos generalmente se enfocan en los controladores de application, en lugar de buscar las vulnerabilidades de firmware o hardware más complejas que tienden a tener más impacto en las plataformas de procesamiento, redes y gráficos en el corazón del negocio de Intel. Los investigadores internos de la compañía encontraron el 69% de los problemas de seguridad relacionados con el firmware y el 57% de los problemas de components, según el informe.

«(L) a mayor parte de los problemas encontrados externamente estaban en el application que consistía principalmente en utilidades de computer software y controladores de software para gráficos, redes y componentes Bluetooth», Intel declarado en el informe. «Si bien estos son temas importantes que abordar, el firmware de nuestro producto constituye la foundation de la confianza en nuestras plataformas y los datos muestran que este es el enfoque principal de nuestra investigación de seguridad interna».

Investigadores que no pertenecían a Intel ni formaban parte de un programa de recompensa por errores informaron solo 17 vulnerabilidades. Esos investigadores incluyen socios, clientes y organizaciones de Intel que no pueden solicitar pagos de recompensa, dijo la compañía.

La mayoría de las vulnerabilidades, 93, ocurrieron en controladores y otros componentes de software program, mientras que 66 ocurrieron en el firmware y 58 afectaron a una combinación de firmware y software program. El menor número de vulnerabilidades, 14, afecta al components, como los procesadores. Las vulnerabilidades de components, como las fallas de diseño de Spectre y Meltdown causadas por problemas pasados ​​por alto en la ejecución especulativa de ramificación, son muy difíciles de parchear o mitigar una vez que se ha producido el producto.

En standard, los componentes gráficos representaron la mayor parte de las vulnerabilidades, 22, y casi la mitad se clasificó como de alta gravedad. Las vulnerabilidades más críticas ocurrieron en Intel Converged Stability and Administration Engine (CSME), que forma la foundation de la raíz de confianza de cualquier plataforma informática basada en Intel, aislando sus funciones de la unidad central de procesamiento (CPU), firmware o BIOS, y el Sistema operativo.

En complete, las plataformas y el software package de Intel tenían seis vulnerabilidades críticas, 80 altas, 131 medias y 14 de gravedad baja en 2020. Intel encontró dos de las vulnerabilidades críticas y un poco más de la mitad de las altamente calificadas, según el informe.

Intel planea seguir invirtiendo en seguridad, pero la empresa no tenía objetivos presupuestarios específicos para sus programas. Teniendo en cuenta el aumento en la cantidad de vulnerabilidades reportadas a través de recompensas por errores, es posible que la empresa deba planificar el aumento de los pagos externos a los investigadores.

«No pensamos en términos de presupuesto, sino en términos de más capacidad, lo que sea que necesitemos escalar», dice Bryant. «El grupo de garantía y seguridad de productos de Intel se centra en cosas como SDL, investigación de seguridad ofensiva, gestión de vulnerabilidades. Cosas así. El presupuesto no es parte del informe porque cambia».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Examining, MIT&#39s Know-how Evaluation, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial