Estadísticas de Vulnerabilidad hasta 2019
Cómo es costumbre, a comienzos de cada año publico las estadísticas de vulnerabilidad del año anterior que fueron reportadas y registradas en la National Vulnerability Database (NVD), perteneciente al National Institute of Standrards and Technology (NIST). El NVD es un organismo no gubernamental de los EEUU. Estos datos son registrados y almacenados en una BDD de dominio público.
Éste organismo informa cuatrimestralmente permitiendo la automatización de la gestión de seguridad. En ésta base de datos se registran fallas de software relacionados con la seguridad, errores de configuración, nombres de productos y métricas de impacto.
Durante el año 2019, pareciera ser que para los dos motores que acostumbran a liderar, ha sido un año no tan bueno. Si bien siguen siendo los ganadores, en el último período ambos han reportado defectos de vulnerabilidad. Ninguno de los dos ha reportado defectos del menor riesgo (bajo), tampoco del más alto (crítico), sino intermedios (medio y alto).
Entre estos dos, ambos han presentado sus defectos de alto riesgo, en un solo momento del año, con lo cual, permiten disponer del resto del año para tareas no obligatorias, según sus políticas de seguridad. Al respecto, si bien DB2 que se encuentra en el 4to puesto, redujo su nivel de defectos considerablmente respecto al año anterior, con tan solo dos defecto más que Informix, la cantidad de defectos de alto riesgo son 11 versus 2 de Informix, y los mismos se encuentran distribuídos a lo largo del año a través de diferentes cuartos, obligando a mayores tareas mandatorias de administración. Lo bueno de DB2 es que no solo redujo en general sus defectos a menos de la mitad, sino que en particular tampoco reportó defectos críticos.
Por otro lado, los dos motores de Oracle (Oracle y MySQL), han reportado una considerable mayor cantidad de defectos de vulnerabilidad respecto al período anterior. Si bien menor en defectos del tipo crítico, el aumento fue notablemente superior en aquellos del tipo medio, y aquellos del tipo alto o crítico, distribuídos en diferentes cuartos, ocasionando mayor tarea de administración.
En tanto PostgreSQL se ha mantenido estable respecto al perído anterior, con apenas un solo defecto de vulnerabilidad más que Informix, se encuentra en el 3er puesto, pero con una gran cantidad de defectos de clase alta y crítica, con el agravante de que si bien son pocos en total, se encuentran distribuídos en diferentes cuartos en el año, obligando a mayores tareas mandatorias de administración.
Una vez más, y como es costumbre, Informix lidera y se gana la medalla de oro junto a SQLSvr, de los motores más seguros del mercado y que demandan menor cantidad de tiempo mandatorio de administración.
Muchas empresas pueden "pensar" que nunca nadie les hackearía sus datos, que para poder hacerlo, deberían de conocer sus defectos de vulnerabilidad, pero como vemos, estos son de dominio público, el caviar de los hackers ;-)