Parches de vulnerabilidad: ¿Por qué se quedan cortos tan a menudo?

No es atractivo, ni garantiza el ascenso ni los reconocimientos del personal de la empresa, pero la aplicación de parches es una función crítica de prevención de riesgos en cualquier entorno.

Desgraciadamente, es una tarea que las entidades tienden a dejar de lado, hasta que se enfrentan a un error multimillonario. Ponemon descubrió recientemente que, el 60 % de las víctimas de ciberataques, afirman haber sido atacadas por una  vulnerabilidad conocida sin parches. Entonces, ¿por qué, cuando existe tanto riesgo en la balanza, hay una mayoría de sistemas que siguen sin parchear? Al igual que muchos entornos de bajo rendimiento, la respuesta tiene muchas facetas: práctica, emocional y operativa.

• Práctica: El trabajo remoto, un entorno especialmente proclive a las amenazas en el que trabajan los equipos de seguridad y operaciones, la aplicación de parches suele quedar en segundo plano frente a otras tareas de disuasión de amenazas, como la incorporación de nuevos protocolos de acceso a la seguridad o la recuperación de activos fuera de servicio. El departamento de operaciones también tiene una gran cantidad de prioridades que compiten entre sí, y una de las más importantes es el diseño estratégico de nuevas políticas y procedimientos, con el fin de gestionar mejor una fuerza de trabajo remota ampliada y trabajar con la dirección en los resultados empresariales deseados para el futuro.

• Emocional: El temor inherente es que las actualizaciones de parches puedan causar una interrupción del flujo de trabajo, en un momento en que las organizaciones ya están lidiando con una transición masiva a un entorno de trabajo más remoto/híbrido. El personal de seguridad o de operaciones no quiere ser el causante de un error, por lo que en algunos casos se produce una parálisis por miedo.    

• Operativa: Para que los parches tengan éxito, es importante conocer las vulnerabilidades que suponen la mayor amenaza, para así priorizar correctamente los parches. Muchas organizaciones luchan por gestionar la variedad de aplicaciones en sus entornos, la falta de coherencia en los lanzamientos de la mayoría de los proveedores, y el enorme volumen de cambios que pueden causar a los usuarios los impactos operativos.      

Parches más inteligentes y rápidos

El trabajo a distancia ha disparado el interés por los parches, ya que los equipos de seguridad y operaciones se enfrentan al hecho de que los escritorios remotos pueden estar plagados de vulnerabilidades y residir fuera de los perímetros seguros de la red. Anteriomente, la visibilidad de las operaciones de seguridad en los dispositivos de los trabajadores remotos no se consideraba una prioridad. El nuevo contexto mundial, en el que se utilizan más dispositivos de forma remota, dispositivos que pueden no cumplir con los estándares de seguridad On Premise (instalados en la propia empresa), ha abierto la puerta a una mayor superficie de ataque, una con considerables lagunas en la aplicación de parches efectivos.

¿Cómo pueden las organizaciones superar estas barreras, para que la aplicación de parches se convierta en una parte fluida de las operaciones de seguridad y no en “un asunto más” para tratar en las reuniones del equipo? Las tecnologías de parcheo existen desde hace años, pero las empresas siguen luchando por remediar las vulnerabilidades. No es cuestión de un reto tecnológico al que se enfrentan las empresas, sino un reto de proceso, política e impacto operativo. Existen prácticas y sistemas que pueden ponerse en marcha para minimizar las preocupaciones de seguridad sobre el impacto del flujo de trabajo y, lo que es más importante, afinar la aplicación de parches para centrarse en las amenazas de alto riesgo. Los procesos de aplicación de parches también pueden mejorarse para que la aplicación deje de ser un quebradero de cabeza operativo que requiere mucho tiempo. Lograrlo supondrá, en gran medida, romper las barreras. Las mejoras de la estrategia incluyen:

• Fiabilidad del parche. Ningún administrador responsable de la aplicación de parches puede probar en su totalidad el efecto de las actualizaciones en su entorno. Normalmente, los equipos procuran validar el impacto a través de sistemas de prueba y grupos piloto de usuarios, algo que retrasa las actualizaciones hasta el punto de convertirse en una amenaza. Los avances en la inteligencia del rendimiento de los parches pueden eliminar estos retrasos y acelerar su aplicación, basándose en la telemetría de fuentes populares del rendimiento de los parches y la percepción popular reflejada en las principales redes sociales. Este depósito más completo de datos  permite a los responsables de seguridad agilizar la toma de decisiones sobre dónde centralizar los esfuerzos de pruebas para maximizar la eficiencia y evitar impactos operativos.

• Priorización basada en el riesgo. Muchas organizaciones priorizan los esfuerzos de reparación en función de la gravedad del proveedor. Este enfoque deja a muchos usuarios expuestos a vulnerabilidades de alto riesgo que son activamente explotadas, vulnerabilidades que el proveedor puede haber reseñado como relevantes. Resulta fundamental ampliar la base de conocimientos en este ámbito.               La obtención de métricas adicionales de las vulnerabilidades "explotadas conocidas", ofrecerá al departamento de seguridad más datos con los que priorizar la aplicación de parches, en función de los riesgos reales para la organización.

• Remediación automatizada de vulnerabilidades. Trasladar un mayor conocimiento y priorizar a la acción (así como tener en cuenta la gestión del tiempo de SecOps), implica un mayor grado de automatización. La única manera de parchear y asegurar eficazmente los dispositivos remotos que trabajan en la nube con algún grado de eficiencia, es hacerlo mediante la introducción de una mayor  automatización en el proceso. La automatización puede tomar las métricas obtenidas a través del aprendizaje automático y detectar, diagnosticar y remediar automáticamente la desviación de la configuración, el rendimiento y las vulnerabilidades de seguridad antes de que lleguen a la fase de amenaza.

• Cumplimiento de parches. Los acuerdos de nivel de servicio (SLA) son importantes desde una perspectiva operativa, pero en el mundo de la reparación de vulnerabilidades son absolutamente críticos. Las organizaciones luchan por adelantarse a los actores de las amenazas y necesitan hacer un seguimiento más preciso de la exposición de las vulnerabilidades para reducir su entrada de riesgo. Conseguir una perspectiva más precisa a nivel de parches, que se corresponda con los CVE (vulnerabilidades y exposiciones comunes), sobre cuánto tiempo ha estado expuesta la organización y qué activos están fuera de los SLA, es fundamental para reducir el riesgo general.

• Conversaciones interdisciplinarias. SecOps (Operaciones de Seguridad) es un término útil que se refiere a la colaboración entre seguridad TI y los equipos de operaciones;  aunque, en realidad, los equipos parten de una mentalidad diferente a la hora de abordar los problemas de datos y riesgos. La base común desde la que pueden trabajar juntos para minimizar las amenazas, es una información más válida y objetiva sobre el riesgo de las vulnerabilidades. Por eso, la recopilación de patrones de amenazas mediante el aprendizaje automático -datos que pueden compartirse- es una parte importante de la mejora de los parches. Unos datos más precisos permitirán tomar decisiones  más informadas sobre la priorización de los parches, lo que aportará a ambos equipos un mayor grado de confianza al saber que se está actuando en primer lugar contra las amenazas de mayor riesgo.

Eliminar las barreras

Deshacerse de las barreras prácticas, emocionales y operativas para mejorar los parches es posible. El empleo de la reparación automatizada de vulnerabilidades elimina la lucha constante de los equipos por la competencia de tiempos y prioridades. Gracias a la recopilación de inteligencia de aprendizaje automático de los exploits conocidos, y a la telemetría de origen colectivo, los SecOps ya no temerán los resultados de la aplicación de parches. Y gracias a un conocimiento más detallado, procederán con más fiabilidad. Estos datos mejorados sobre la fiabilidad de los parches ofrecen de forma automática información práctica, por lo que los equipos pueden actuar más rápidamente sobre las amenazas y reducir el tiempo de aplicación de los parches, disminuyendo el impacto operativo.

Por Chris Goettl, Director de Gestión de Productos de Seguridad, Ivanti