Vulnerabilidades “imperdonables”: por qué no deberían dejarse sin corregir
El estudio del NCSC demuestra claramente que tales errores no deberían existir.
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) ha propuesto una nueva metodología de evaluación de vulnerabilidades , dividiéndolas en "perdonables" e "imperdonables". Este enfoque está dirigido a erradicar clases enteras de vulnerabilidades y a simplificar la implementación de mecanismos clave de protección.
Según el estudio, el número de vulnerabilidades en el software sigue creciendo, y sin medidas sistémicas, la tendencia continuará. Muchos errores son difíciles de prevenir, pero algunos de ellos son demasiado evidentes y se repiten año tras año. Tales vulnerabilidades, según el NCSC, representan una violación grave de los principios de desarrollo seguro.
El trabajo utiliza el concepto de "vulnerabilidades imperdonables", propuesto por Steve Christey en 2007 en un estudio de MITRE. Los expertos del NCSC clasificaron errores típicos basándose en la lista de las 25 vulnerabilidades más peligrosas del CWE-2023 y definieron 11 métodos para eliminarlas. A cada método se le asignaron niveles de dificultad de implementación, teniendo en cuenta el costo, la disponibilidad del conocimiento y la viabilidad técnica. Si la corrección del error requiere un esfuerzo mínimo, se considera "imperdonable".
Como ejemplo, la nueva evaluación se aplicó a una vulnerabilidad real en una aplicación web con inyección SQL. El análisis mostró que dos de los tres métodos para corregirla pertenecían a la categoría de dificultad media, y uno era "simple". Como resultado, la vulnerabilidad fue considerada "imperdonable", ya que no debería haber aparecido en el código del programa.
Los investigadores identifican tres direcciones clave para prevenir tales errores: el desarrollo de sistemas operativos más seguros, la mejora de las herramientas de desarrollo y la promoción de la programación segura entre los desarrolladores y las empresas. En particular, se propone prohibir funciones inseguras a nivel del sistema operativo, simplificar la implementación de mecanismos de protección importantes a través de API, así como adoptar lenguajes de programación seguros desde el inicio del proyecto.
La metodología del NCSC está diseñada para motivar a los desarrolladores y empresas a adoptar un enfoque más serio en materia de ciberseguridad, con el fin de erradicar errores recurrentes en la fase de diseño del software.