Virtual Patching, y no te preocupes de más

La cantidad de aplicaciones y velocidad de desarrollo que han traído el cloud y los modelos as-a-service están generando importantes problemas de seguridad. No solo se ha incrementado la superficie de ataque, sino que mantenerlo todo actualizado y parcheado se ha convertido en una tarea que cada vez consume más tiempo y recursos, inabordable para muchas empresas.

El ransomware se ha vuelto tan imparable como insegura la cadena de suministro. En todo caso, para cualquier tipo de ciberataque lo que se busca es el resquicio, el hueco por donde ejecutar el código o robar la credencial. Lo más fácil para los ciberdelincuentes: buscar vulnerabilidades. Si son de Día Cero mejor, pero también valen las que tienen parche porque ellos saben que la falta de tiempo, incluso a veces de conocimiento, deja muchas vulnerabilidades sin parchear.

 

 

En todo caso, una vez hecho público el fallo se pone en marcha la rueda del tiempo, o los 69 días de media que tarda una empresa en parchear una vulnerabilidad crítica en su aplicación, una ventana de oportunidad para los ciberdelincuentes.

El impacto de LogLog4Shell, considerada la peor vulnerabilidad informática de la década, no hace sino poner de manifiesto el impacto que un fallo de código puede tener en las empresas. Explica José de la Cruz, director técnico de Trend Micro Iberia, que la vulnerabilidad, que permite la ejecución remota de código, está categorizada por CVSS con un 10, que es máximo que se puede asignar en este ranking y que permitiría que un usuario sin privilegios pudiera ejecutar cualquier tipo de código malicioso en el entorno de un cliente.

La vulnerabilidad afecta “a cualquier empresa que esté expuesta a Internet”, asegura José de la Cruz, añadiendo que ya hay una familia de ransomware “que está aprovechando esta vulnerabilidad aún no parcheada”.

Preguntado sobre cuáles serían las mejores prácticas para hacer frente a este tipo de ciberataques, asegura José de la Cruz que la mejor es “parchear y mantener las aplicaciones actualizadas”, aunque a veces esta tarea no está libre de retos. “El problema está en que muchas veces estos parches, por la urgencia con la que se publican, rompen directamente la funcionalidad que tiene la librería. Y ya nos hemos encontrado con clientes que han parcheado a toda prisa y se han encontrado con que sus aplicaciones, en muchos casos críticas de negocio, han dejado de funcionar”.

La segunda mejor práctica es “implementar un mecanismo que ayude a mitigar el impacto que tiene esta vulnerabilidad”, como puede ser la tecnología de parcheado virtual de Trend Micro que ayuda es a prevenir de manera virtual que se pueda atacar esa vulnerabilidad. Virtual Patching analiza el tráfico que llega al dispositivo, host o aplicación, dependiendo de dónde estemos protegiendo y bloquea virtualmente el ataque, “parcheando de manera virtual una aplicación que es vulnerable”.

Para José de la Cruz, Virtual Patching no busca sustituir al parcheado tradicional, pero existen circunstancias, como que el código esté mal programado, o sean aplicaciones legacy que ya no tenga el soporte del fabricante, y por tanto no hay parches, que llevan a que el parcheado virtual sea la mejor de las opciones, a veces la única