‘Cada vez se programa mejor, pero en un entorno que es cada vez más inseguro’ (Sergio Pedroche, Qualys)

El número de vulnerabilidades no deja de aumentar y entre tantas, las hay que tienen un enorme impacto en el mercado. Se nos estaba empezando a olvidar lo de Wannacry, cuando llegó Log4Shell, un fallo que aún persiste en el 30% de las instancias de Java afectadas.

Para Sergio Pedroche, Country Manager de Qualys para España y Portugal, la mayor cantidad de vulnerabilidades no está relacionada con la manera de programar, sino en tendencias como las arquitecturas Agile, el modelo de fast delivery, los contenedores o las instancias en la nube, que “suponen un panorama tecnológico cada vez más heterogéneo y complejo”. Dice también que el pentesting es muy útil y necesario, “pero claramente insuficiente sin un servicio robusto y maduro de gestión de vulnerabilidades”, o que la adopción de soluciones de gestión de vulnerabilidades en modo servicio es la forma más viable y eficiente de que el mercado pyme pueda acceder a ellas.

La vulnerabilidad Log4Shell, descubierta el pasado mes de diciembre, sigue ocupando titulares, ¿por qué es tan importante?

Es importante porque afecta a Java que es tremendamente popular (se estima que 15.000 millones de dispositivos en todo el mundo lo ejecutan) en concreto, a una utilidad de monitorización llamada log4j2 de amplio uso tanto por aplicaciones empresariales como por servicios en la nube. Además, es bastante fácil de explotar pero muy difícil de detectar, poniendo en grave riesgo a cientos de millones de aplicaciones, bases de datos y dispositivos. El alcance total del riesgo potencial no tiene precedentes y abarca todo tipo de organizaciones de todas las industrias. No olvidemos tampoco que la explotación de Log4Shell da como resultado la ejecución remota de código en el servidor vulnerable con privilegios de nivel de sistema y que por su impacto tiene una puntuación máxima CVSS de 10.0.

¿Qué está impidiendo que los sistemas afectados por Log4Shell sean parcheados?

Efectivamente, según datos de nuestro equipo de analistas, el 30% de las instancias afectadas por Log4Shell siguen sin ser parcheadas. Como comentaba anteriormente, es fácil de explotar, sin embargo, es complicado de detectar y confirmar, es decir, se necesitan ciertos datos adicionales para corroborar el problema e implementar medidas de mitigación y remediación. Actualizar a la versión recomendada es el paso final y definitivo pero la mayoría de las organizaciones tienen fuertes dependencias con negocio y otras áreas que impiden esta solución. Con “Wannacry” ocurrió exactamente lo mismo, es un problema crónico, el talón de Aquiles de la gestión de vulnerabilidades y la aparición de un “Día Cero”.

Cada vez hay más empresas que adoptan programas de Bug Bounty para intentan detectar vulnerabilidades y adelantarse a los ciberdelincuentes, ¿qué le parece?

Sinceramente, el sólo hecho de utilizar un concepto tipo “cazarecompensas” creo que da una idea de su alcance. No niego que cualquier ayuda contra el cibercrimen ha de ser bienvenida, y que plataformas como HackerOne o BugCrowd han conseguido un nivel de sofisticación importante, pero se me antoja insuficiente si tenemos en cuenta la magnitud de la amenaza. Nosotros consideramos necesario aplicar una propuesta mucho más potente. Es parecido al “pentesting” muy útil y necesario, pero claramente insuficiente sin un servicio robusto y maduro de gestión de vulnerabilidades.

En todo caso, siguen detectándose cada vez más vulnerabilidades, muchas de Dia Cero, ¿se programa peor?

No, definitiva y tajantemente no. Los modelos actuales de programación han permitido un nivel de precisión y alcance sin precedentes. ¿Dónde está el problema, entonces? El problema está en que tendencias como las arquitecturas Agile, el modelo de fast delivery, los contenedores o las instancias en la nube suponen un panorama tecnológico cada vez más heterogéneo y complejo, donde las amenazas proliferan cada día más y más rápido. Dadas las circunstancias, yo diría que cada vez se programa mejor, pero en un entorno que es cada vez más inseguro. Los Día Cero siempre han existido y así seguirá siendo, siempre que haya interacción humana la posibilidad de fallo nunca podrá ser cero absoluto.

¿Son las empresas conscientes de la importancia de mantener los equipos actualizados? O mejor dicho, ¿son las empresas capaces de mantener los equipos actualizados?

En el caso de Log4shell, sabemos por diferentes estudios realizados que pocas horas después de la divulgación de la vulnerabilidad ya se habían desarrollado miles de intentos de ataque en todo el mundo. Esto nos da una idea de lo importante que es mantener las infraestructuras al día, algo sobre lo que aún no existe una completa concienciación.  Las empresas tienen que entender que no se pueden retrasar los procesos de remediación porque las organizaciones que continúan dejando esta brecha sin mitigar están presionando el “botón de repetición”. Es un proceso complicado, pero debemos encontrar el punto medio entre la operación, el negocio y la seguridad.

España es un país de pymes, que son empresas con menos recursos, ¿cómo puede afrontar una empresa pequeña un proceso de actualización y parcheo continuo? ¿qué consejo daría a este tipo de empresas?

En la convulsa situación actual, para todas las organizaciones –sea cual sea su tamaño o sector- es conveniente invertir en soluciones que ayuden no sólo a mitigar, sino también en la gestión de sus activos de TI, como la detección y respuesta ante vulnerabilidades, la seguridad en la nube y la protección de aplicaciones web, entre otros apartados. Tanto si son grandes corporaciones como si se trata de pequeños negocios, es necesaria una visión unificada de la postura de riesgo de la organización. Nuevas tecnologías como inteligencia de amenazas en tiempo real ayudan a las empresas a evaluar y monitorizar continuamente las amenazas de seguridad y preparar un plan de recuperación ante desastres. Quizá la adopción de estas soluciones en modo servicio sea la forma más viable y eficiente técnica y económicamente hablando.

Cada vez más empresas están integrando dentro de su oferta de seguridad la gestión y priorización de vulnerabilidades. ¿Qué ventaja ofrece Qualys, una empresa que nació en este mercado?

Qualys fue fundada en el siglo pasado como una de las pioneras en el modelo SaaS, con una larga trayectoria en este mercado lo que le ha permitido convertirse en un proveedor líder de soluciones de seguridad y cumplimiento basadas en la nube. Esta experiencia se traduce en una capacidad de detección única gracias a una base de datos con cientos de miles de vulnerabilidades actualizadas. El modelo de servicio en cloud hace más asequible y eficiente la propuesta y permite alcanzar el grado más alto de escalabilidad y disponibilidad. La calidad y la confianza en la precisión de las detecciones nos hacen ser un referente destacado en el sector además de ofrecer un catálogo de servicios adicionales que aportan un valor claramente diferencial.