Por segundo año consecutivo, la gran mayoría de las vulnerabilidades (92%) encontradas en los productos de Intel provienen de las inversiones en seguridad de la compañía, específicamente los esfuerzos de investigación interna y recompensas por errores externos, declaró la compañía en un nuevo informe, publicado hoy.
De las 231 vulnerabilidades reportadas en los productos Intel en 2020, 109 problemas (47%) fueron encontrados por empleados de Intel, mientras que 105 (45%) fueron reportados por investigadores externos que participaron en un programa de recompensas por errores, según el informe de la compañía «2020 Product or service Protection » reporte. Si bien la compañía no detalló cuánto invirtió en los diferentes programas, Intel sí dijo que la compañía pagó un promedio de $ 800,000 al año por recompensas por errores.
La compañía planea continuar con su enfoque de seguridad múltiple, dice Jerry Bryant, director de comunicaciones de seguridad en el grupo Intel System Assurance and Safety (PAS).
«La seguridad no es una inversión única», dice. «Debe pensarlo de manera más amplia a partir de las buenas prácticas de desarrollo de seguridad, incorporar eso en la mentalidad de su empresa, invertir en procesos de administración de vulnerabilidades y la investigación de seguridad en curso en sus productos, tanto en la versión preliminar como en el envío».
El informe destaca la creciente importancia de los programas de recompensas por errores para los desarrolladores de aplicaciones y software package. Ni siquiera hace cinco años, muchas empresas continuaron debatiendo la eficacia de los programas de recompensas por errores, pero la mayoría ha llegado a valorar sus relaciones con investigadores externos.
Intel comenzó su propio programa de recompensas por errores en 2018, cuando la compañía también lanzó su grupo Products Assurance and Stability. El esfuerzo ha dado sus frutos. Si bien se reveló aproximadamente la misma cantidad de vulnerabilidades en los últimos dos años a través de programas internos y recompensas de errores externos, en 2020 se informó un tercio más de vulnerabilidades a través del programa de recompensas de errores: 105, frente a 70 en 2019.
Los investigadores externos generalmente se enfocan en los controladores de software program, en lugar de buscar las vulnerabilidades de firmware o components más complejas que tienden a tener más impacto en las plataformas de procesamiento, redes y gráficos en el corazón del negocio de Intel. Los investigadores internos de la compañía encontraron el 69% de los problemas de seguridad relacionados con el firmware y el 57% de los problemas de hardware, según el informe.
«(L) a mayor parte de los problemas encontrados externamente estaban en el computer software que consistía principalmente en utilidades de software package y controladores de application para gráficos, redes y componentes de Bluetooth», Intel declarado en el informe. «Si bien estos son problemas importantes que abordar, el firmware de nuestro producto constituye la base de la confianza en nuestras plataformas y los datos muestran que este es el enfoque principal de nuestra investigación de seguridad interna».
Investigadores que no pertenecían a Intel ni formaban parte de un programa de recompensa por errores informaron solo 17 vulnerabilidades. Esos investigadores incluyen socios, clientes y organizaciones de Intel que no pueden solicitar pagos de recompensa, dijo la compañía.
La mayoría de las vulnerabilidades, 93, ocurrieron en controladores y otros componentes de software program, mientras que 66 ocurrieron en el firmware y 58 afectaron a una combinación de firmware y software package. El menor número de vulnerabilidades, 14, afecta al hardware, como los procesadores. Las vulnerabilidades de components, como las fallas de diseño de Spectre y Meltdown causadas por problemas pasados por alto en la ejecución especulativa de ramificación, son muy difíciles de parchear o mitigar una vez que se ha producido el producto.
En basic, los componentes gráficos representaron la mayor parte de las vulnerabilidades, 22, y casi la mitad se clasificó como de alta gravedad. Las vulnerabilidades más críticas ocurrieron en Intel Converged Safety and Administration Motor (CSME), que forma la foundation de la raíz de confianza de cualquier plataforma informática basada en Intel, aislando sus funciones de la unidad central de procesamiento (CPU), firmware o BIOS, y el Sistema operativo.
En full, las plataformas y el application de Intel tenían seis vulnerabilidades críticas, 80 altas, 131 medias y 14 de gravedad baja en 2020. Intel encontró dos de las vulnerabilidades críticas y un poco más de la mitad de las altamente calificadas, según el informe.
Intel planea seguir invirtiendo en seguridad, pero la empresa no tenía objetivos presupuestarios específicos para sus programas. Teniendo en cuenta el aumento en la cantidad de vulnerabilidades reportadas a través de recompensas por errores, es posible que la empresa deba planificar el aumento de los pagos externos a los investigadores.
«No pensamos en términos de presupuesto, sino en términos de más capacidad, lo que sea que necesitemos escalar», dice Bryant. «El grupo de garantía y seguridad de productos de Intel se centra en cosas como SDL, investigación de seguridad ofensiva, gestión de vulnerabilidades. Cosas así. El presupuesto no es parte del informe porque cambia».
Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading through, MIT's Technological innovation Critique, Popular Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa
Lectura recomendada:
Más información
