Azul ha presentado una evaluación gratuita de riesgos de vulnerabilidades en la JVM, destinada a dar a las organizaciones visibilidad sobre los puntos débiles de su stack de Java.
Azul, proveedor de plataformas Java para empresas, publicó una evaluación gratuita de riesgos de vulnerabilidades en la JVM. La oferta está dirigida a equipos de DevOps y SecOps y busca exponer riesgos de seguridad ocultos en los entornos de ejecución de Java antes de que puedan ser explotados. Está disponible directamente a través de Azul y de socios seleccionados, y pretende complementar las soluciones de seguridad, licenciamiento y cumplimiento que ya ofrecen esos socios.
Azul justifica la iniciativa por un cambio en el panorama de amenazas. Aunque identificar y explotar vulnerabilidades de día cero en entornos Java exigía durante mucho tiempo un conocimiento profundo de la JVM y meses de análisis, la compañía hace referencia a observaciones relacionadas con el modelo Claude Mythos de Anthropic. Según Azul, los sistemas de IA autónomos pueden ahora descubrir por sí mismos vulnerabilidades desconocidas y generar rutas de explotación funcionales a gran escala. Como resultado, afirma la empresa, el tiempo medio de explotación (MTTE) está pasando de meses a, en algunos casos, días u horas.
La evaluación consta de cuatro elementos, según Azul: un panel de seguridad que resume el stack de Java por nivel de riesgo, proveedor y versión; un desglose de riesgos para priorizar la aplicación de parches; indicadores sobre vulnerabilidades explotadas conocidas (KEV) basados en el catálogo de la agencia estadounidense CISA, además de instancias que han llegado al fin de su vida útil; y un plan de acción priorizado con pasos de parcheo y migración.
Jenny Nelson, responsable de TIC y Digital del Ayuntamiento de Newcastle, es citada en el comunicado afirmando que la colaboración con Azul ha reducido el riesgo de seguridad en las aplicaciones Java y ha estandarizado y simplificado el entorno Java del ayuntamiento.
Azul señala la velocidad de aplicación de parches como una línea de defensa central. La compañía menciona actualizaciones críticas trimestrales (CPU) que, según indica, contienen únicamente correcciones de CVE, así como parches de emergencia fuera de ciclo para vulnerabilidades que requieren atención inmediata. Azul Core se describe como la única distribución OpenJDK que ofrece exclusivamente actualizaciones de seguridad. La empresa añade que proporciona visibilidad sobre las instancias de JVM en todo el parque Java de una organización, incluidas las runtimes integradas o no gestionadas que las herramientas estándar de descubrimiento de activos suelen pasar por alto.
Azul considera que esto es especialmente relevante para sectores regulados como servicios financieros, sanidad, suministros y administración pública, que suelen operar stacks de Java de gran tamaño bajo marcos normativos como PCI-DSS, SOX, HIPAA, DORA, NERC CIP y FedRAMP. Estos marcos exigen visibilidad demostrable sobre las versiones de software desplegadas y una corrección oportuna de vulnerabilidades.
Scott Sellers, cofundador y consejero delegado de Azul, es citado afirmando que el conocimiento especializado que antes se interponía entre los atacantes y el stack de software de una empresa ya no constituye una barrera. Según Sellers, la evaluación está pensada para ayudar a los equipos de seguridad a identificar exposiciones existentes antes de que los sistemas autónomos puedan explotarlas.
Según Azul, la compañía da soporte a sistemas críticos de negocio en el 36 % de las empresas Fortune 100 y en la mitad de las diez marcas mejor valoradas según Forbes.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de