Un estudio de Forrester rediseña Microsoft Security

¿Linux es más seguro que Windows?

Es la pregunta bosque La analista sénior Laura Koetzle trató de responder en un informe reciente sobre el tema, pero su análisis podría arrojar leña a un debate ya acalorado.

El estudio de Koetzle compara la seguridad de Windows y cuatro proveedores principales de Linux: Debian, Red Hat, MandrakeSoft y SUSE Linux, ahora propiedad de Novell.

El analista eligió una ventana de tiempo, del 1 de junio de 2002 al 31 de mayo de 2003, identificó la cantidad de vulnerabilidades de seguridad reportadas para cada sistema operativo durante este período y analizó estos datos según la capacidad de respuesta del proveedor, la gravedad de las violaciones de seguridad y la minuciosidad. . en la corrección de defectos.

Respuesta rápida de Microsoft

Sus hallazgos muestran que Microsoft, en promedio, lanzó una solución para las 128 vulnerabilidades de seguridad durante el período dentro de los 25 días posteriores a la revelación de una vulnerabilidad. Esto se compara con 57 días para Red Hat con 229 defectos y Debian con 286, 82 días para MandrakeSoft con 199 defectos y 74 días para SuSE con 176 defectos.

Sin embargo, las vulnerabilidades de seguridad de Windows tendían a ser vulnerabilidades de mayor riesgo que las que se encuentran en los productos de Linux. El 67 % de las fallas de Windows se clasificaron como de «gravedad alta», en comparación con el 56 % de Red Hat, el 57 % de Debian, el 60 % de MandrakeSoft y el 63 % de SuSE.

Con base en sus hallazgos, el informe recomienda:

  • Si desea actualizaciones de seguridad lo más rápido posible, considere Debian y Microsoft.
  • Si desea seguridad con una instalación sencilla, considere MandrakeSoft, Microsoft o SuSE.
  • Si desea maximizar la seguridad y la facilidad de uso, considere Microsoft o Red Hat.

No hace falta decir que Microsoft, que ha sido el chivo expiatorio en cuestiones de seguridad durante muchos años, se mostró complacido con los resultados del estudio.

«Microsoft da la bienvenida a la decisión de Forrester de revisar objetiva y exhaustivamente los datos que sustentan la gestión de vulnerabilidades en la industria del software y alienta a todos los clientes a revisar y evaluar los datos en el contexto de sus propios entornos informáticos», dijo un portavoz, que no pidió ser identificado. por su nombre, dijo a El Diario del Mundo.

Por otro lado, algunos miembros de la comunidad de Linux no estaban nada contentos con el informe.


Esfuerzo malgastado

«Creo que fue un esfuerzo inútil porque no creo que dé ninguna respuesta», dijo Vincent Danen, gerente de actualizaciones de seguridad de MandrakeSoft, sobre el estudio desde su oficina en Edmonton, Alberta, Canadá.

«El problema con este informe es que está comparando manzanas con naranjas», dijo. «Si esto fuera algo estrictamente limitado a los proveedores de Linux, tendría sentido».

La analogía de «manzanas con naranjas» se citaba constantemente al recopilar datos para el estudio, dijo Koetzle a El Diario del Mundo.

«Sí, Windows y Linux se desarrollan de manera muy, muy diferente», dijo. «No discuto eso de ninguna manera.

«Pero», continuó, «a los clientes empresariales realmente no les importa. Cuando eliges una plataforma para operar y consideras la seguridad, lo que te importa es qué tan segura es. No te importa cómo se desarrolló. No importa quién lo desarrolló, no importa qué metodología usaron, lo que importa es el resultado.

Explicó que estaba comparando sistemas basados ​​en la función en lugar de diferencias en la arquitectura.

Números versus calidad

Este análisis funcional, sin embargo, proporciona una imagen menos que completa de la situación, según el portavoz de Novell, Bruce Lowry.

«Creemos que las conclusiones del informe fueron erróneas en términos de lo que realmente importa», dijo a El Diario del Mundo desde su oficina en San Francisco. “Es un informe cuantitativo que no aborda las cuestiones cualitativas involucradas. Y estas son las cuestiones cualitativas de las que debe preocuparse al elegir una plataforma. »


Este informe «no aborda la rapidez con que se abordan las vulnerabilidades más graves», dijo. «Diríamos que en la comunidad Linux, por varias razones, las cosas más serias se tratan con mayor rapidez y eficacia».

Prioridades, Prioridades

Mark Cox, gerente del equipo de respuesta de seguridad de Red Hat, dijo a El Diario del Mundo que cada vulnerabilidad que afecta a los productos de Red Hat se investiga y evalúa individualmente. A continuación, se determina la gravedad de la vulnerabilidad en función del riesgo, el impacto y el software afectado.

Luego, esta gravedad se usa para determinar la prioridad con la que se está trabajando en un parche para una vulnerabilidad, en comparación con otras vulnerabilidades en la cola actual de la empresa, continuó. Esta priorización significa que los problemas de menor gravedad a menudo se retrasarán para permitir que los problemas más importantes se resuelvan primero.

«Aunque el informe de Forrester lo afirma, no hace esta distinción al medir el tiempo transcurrido entre el conocimiento público de una falla de seguridad y la disponibilidad de la solución de un proveedor», dijo. «El promedio trata incorrectamente todas las vulnerabilidades como iguales, independientemente del riesgo».

———————————————————————————————————————–
Esperamos que te haya gustado el contenido de nuestro Blog El Diario del Mundo, sí fue así, por favor compártelo nos ayudarías mucho para seguir publicando más contenido.

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.