LAS VEGAS, July 29, 2010 /PRNewswire/ — Hoy en la conferencia Black Hat USA 2010, Microsoft Corp (NASDAQ: MSFT – noticias) . anunció que ampliará su Microsoft Active Protections Program (MAPP) (http://www.microsoft.com/security/msrc/collaboration/mapp.aspx) para incluir la capacidad de compartir información sobre vulnerabilidad de Adobe Systems (NASDAQ: ADBE – noticias) Inc. Microsoft también analizó la nueva política de revelación de vulnerabilidad coordinada -una reenmarcación de la revelación responsable- e introdujo nuevas herramientas y guía que mejorar la seguridad en línea para clientes.

Ampliación del programa Microsoft Active Protections en colaboración con Adobe Systems

Lanzado en octubre de 2008 por el Microsoft Security Response Center (https://www.microsoft.com/security/msrc/default.aspx), MAPP es un esfuerzo de colaboración único que facilita la capacidad de compartir información avanzada en las vulnerabilidades del producto Microsoft con proveedores de software de seguridad. En otoño de 2010, Adobe se unirá a Microsoft y compartirá su información de vulnerabilidad con 65 miembros MAPP globales, ofreciendo protecciones avanzadas a cientos de millones de personas. Mediante programas como MAPP, Microsoft ayuda a proteger a los clientes de las amenazas de hoy y de mañana.

“Los productos de Adobe son confiados por personas y organizaciones en todo el mundo. Dada (Milan: DA.MI – noticias) la ubicuidad relativa y el alcance de plataforma cruzada de muchos de nuestros productos, así como los continuados cambios en el paisaje de amenaza, Adobe ha atraído una mayor atención de los atacantes”, comentó Brad Arkin, director senior de seguridad de producto y privacidad en Adobe. “Estamos comprometidos con la seguridad de nuestros clientes a todos los niveles y estamos encantados de aprovechar MAPP como una parte importante de nuestra iniciativa de seguridad de productos. MAPP es un fantástico ejemplo de un modelo demostrado que da una mano superior a una red de defensores globales que corren tras un propósito compartido: proteger a nuestros clientes mutuos”.

“Microsoft reconoce que el paisaje de amenazas en constante cambio requiere un nuevo enfoque a la seguridad – colaboración y responsabilidad compartida son claves ya que los esfuerzos individuales pasados ya no se necesitan”, indicó Mike Reavey, director del Microsoft Security Response Center en Microsoft. “Estamos encantados con ampliar los beneficios del MAPP a los usuarios de Adobe ya que hemos visto una clara evidencia de su impacto para avanzar las protecciones de los clientes. Continuamos fomentando la industria colectiva -desde investigadores de seguridad y vendedores a clientes-para reconocer la responsabilidad que todos compartimos al fortificar el amplio ecosistema informático contra los delitos en línea”.

Cambio a la revelación de vulnerabilidad coordinada

En reconocimiento al interminable debate entre revelación de responsabilidad y defensores de la total revelación y la capacidad de debate para restarle valor a la colaboración de la industria productiva y la defensa de los clientes, Microsoft anunció que pasará a una nueva práctica y filosofía de revelación de vulnerabilidad coordinada.

- Definición de revelación de vulnerabilidad coordinada. Microsoft cree
que la revelación de la vulnerabilidad coordinada es cuando las
vulnerabilidad recientemente descubiertas en hardware, software y
servicios se revelan directamente a los vendedores de los productos
afectados, a un CERT-CC u otro coordinador que informará al vendedor
privadamente, o a un servicio privado que informará asimismo al
vendedor privadamente. El buscador permite al vendedor tener la
oportunidad de diagnosticar y ofrecer actualizaciones totalmente
probadas, workarounds u otras medidas correctivas antes de que la
vulnerabilidad detallada o explotar información se comparta
públicamente. Si los ataques se llevan a cabo en su hábitat natural, la
revelación de los detalles de vulnerabilidad públicos iniciales se puede
producir cuando el buscador y el vendedor trabajan juntos lo más cerca
posible con el fin de proporcionar mensajería consistente y directrices
para que los clientes se protejan a sí mismos.

Detalles adicionales sobre la revelación de vulnerabilidad coordinada disponibles en http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx.

Microsoft insta a la amplia comunidad – desde investigadores de seguridad a vendedores – a llevar a cabo la revelación de vulnerabilidad coordinada. La necesidad de disponer de coordinación y responsabilidad compartida nunca ha sido mayor, al igual que el ecosistema informático se enfrenta a un nivel sin precedentes de amenazas de los elementos delictivos. Para superar dicho elemento, debemos trabajar de forma conjunta para mejorar la seguridad del ecosistema completo – y, como siempre, hacer de la protección al cliente nuestra principal prioridad.

Nuevas herramientas y directrices

Microsoft lanzó también hoy varios recursos que ayudarán a los clientes a tomar decisiones informadas y gestionar el riesgo. Este lanzamiento demuestra los esfuerzos en marcha de la compañía para mejorar la experiencia al cliente por medio del desarrollo y capacidad para compartir de las directrices y soluciones. Microsoft insta a las organizaciones a mejorar sus directrices disponibles de forma gratuita para protegerse frente a amenazas y mejorar su proceso de seguridad.

- Enhanced Mitigation Experience Toolkit (EMET). EMET es una herramienta
gratuita que proporciona nuevas mitigaciones de seguridad a las antiguas
plataformas de aplicaciones de Microsoft, tanto a terceras partes como
a la línea de aplicaciones empresariales. La herramienta ayuda de forma
específica a bloquear los ataques dirigidos contra vulnerabilidades no
fijas. La herramienta estará disponible en agosto. Los interesados
pueden visitor

http://ecn.channel9.msdn.com/o9/edge/9900/29900/emetoverview72010_edge.wmv

si desean ver un vídeo de instrucciones.

- Documento de investigación de vulnerabilidad Microsoft (MSVR). El MSVR
se lanzó para compartir las lecciones aprendidas por Microsoft en
relación a la construcción de un software más seguro y responder a las
vulnerabilidades de productos de terceras partes construidos en la
plataforma de la compañía. Desde su lanzamiento en 2008, el MSVR ha
trabajado con más de 30 vendedores, ayudando a mejorar el software de
Microsoft, además de los productos de terceras partes, manteniendo
finalmente más personas seguras en línea. Una cuenta más
detallada sobre cómo el MSVR ha mejorado la seguridad general de
Microsoft y de los productos de terceras partes está disponible a
través de http://go.microsoft.com/?linkid=9738193.

- Un informe: Building a Safer, More Trusted Internet Through Information
Sharing. En agosto de 2008, Microsoft lanzó tres programas relacionados
con la seguridad que se han diseñado para compartir de forma colectiva
más información con los socios y clientes. Tal y como se destaca en el
informe, los tres programas – MAPP, el Microsoft Exploitability Index y
el MSVR – han evolucionado en los últimos dos años, creando un entorno
online más seguro para las personas del mundo. Por ejemplo:

- Sourcefire Inc. indicó que en la carrera entre la consecución y la
protección, MAPP había ayudado a reducir el riesgo de ataque en
algunos casos en más de un 75%.

- Según iDefense Labs, el Microsoft Exploitability Index ha ayudado a
reducir el riesgo, proporcionando a los administradores de sistemas
la información necesaria para priorizar las actualizaciones de
seguridad.

- Desde el año 2009, el programa MSVR ha identificado 35
vulnerabilidades de software diferentes que afectan a 19 vendedores.
Hasta la fecha, el 45% de estas vulnerabilidades han sido resueltas,
ayudando a conseguir una plataforma Microsoft con mejor seguridad y
el mayor entorno informático.

El informe completo sobre el progreso de estos tres programas está disponible a través de http://go.microsoft.com/?linkid=9738546.

Teniendo en cuenta el aumento de criminalidad del marco de las amenazas, está caro que es necesaria una nueva aproximación de seguridad. Microsoft insta a un sentido de sensibilidad compartido en el ecosistema, ya que no hay compañía persona o tecnología que pueda solucionar los complejos retos actuales de seguridad. De este modo, Microsoft insta a la industria a continuar colaborando y coordinando la lucha contra las amenazas en línea para crear una Internet más segura y de confianza.