No sin mi parche
- Opinión
Una estrategia eficaz de gestión de parches es una de las bases de la política de ciberseguridad de una organización. Sin embargo, demasiadas empresas siguen hablando de boquilla de la gestión de parches y aquellas que entienden la importancia de implementar un procedimiento sólido pueden seguir teniendo problemas para hacerlo bien.
Según Gartner, el 99% de las vulnerabilidades explotadas a finales de 2020 habrían sido conocidas por los profesionales de la seguridad y los administradores de TI en el momento del incidente. En cambio, las vulnerabilidades zero-day representan aproximadamente el 0,4%. De hecho, el 80% de los ataques exitosos explotan vulnerabilidades que tienen parches conocidos que no se han aplicado.
Los desarrolladores de software publican parches para corregir las vulnerabilidades de su software. Todo el software tiene errores y, ya sea por fallos de diseño o de implantación, el gran volumen de código de los sistemas y aplicaciones está destinado a contener errores.
En el libro de Steve McConnell, Code Complete, la tasa media de errores en la programación estima que suele haber entre 15 y 50 errores por cada mil líneas de código. El nivel de riesgo asociado a estos errores puede ir desde una pequeña molestia en la estabilidad, hasta la posibilidad de un mayor compromiso de los datos.
La mayoría de los parches de seguridad son una respuesta a una vulnerabilidad identificada, posiblemente una que ya ha sido explotada, llamada vulnerabilidad zero-day. Esto significa que aplicar estos parches a tiempo es fundamental para la seguridad. Las actualizaciones de Service Pack (SP) o Feature Pack (FP) son parches importantes que comprenden una colección de actualizaciones, correcciones o mejoras de funciones para una pieza de software. Suelen resolver muchos problemas pendientes y suelen incluir todos los parches, hotfixes, parches de mantenimiento y de seguridad publicados antes del Service Pack.
Aunque las pruebas y el despliegue de cualquier parche pueden parecer de baja prioridad al lado de la monitorización en directo y la gestión de incidentes, el proceso es vital. La publicación de un parche por parte de un proveedor de software también notifica a los actores maliciosos la posible vulnerabilidad, que aprovecharán como una oportunidad para explotarla antes de que se apliquen los parches. Es una carrera contrarreloj para que las organizaciones minimicen la probabilidad de que se produzca una filtración de datos o se arriesguen a incumplir la normativa debido a un software sin parches.
Una verdad incómoda
Los parches de software son un inconveniente necesario para los administradores de TI, ya que consumen mucho tiempo y pueden causar molestias a los usuarios; a menudo hay que reiniciar los ordenadores y servidores, lo que provoca interrupciones en el trabajo. Por ello, a menudo se posponen las actualizaciones y se ignoran los parches recomendados. Sin embargo, lo que puede parecer una acción inocente puede acabar teniendo graves consecuencias.
Una de las principales razones por las que las empresas no parchean regularmente sus sistemas es la falta de personal técnico. Además, algunas actualizaciones pueden causar problemas de rendimiento, mientras que los sistemas heredados pueden requerir una versión específica de una aplicación, por lo que parchear o actualizar puede no ser posible. En este caso, deben realizarse controles como la segmentación de la red para aislar el sistema vulnerable en la medida de lo posible.
Principales objetivos
Las aplicaciones de terceros más utilizadas son el principal objetivo de los hackers. Según el índice Common Vulnerabilities and Exposures (CVE²), aplicaciones como Java, Adobe, Google Chrome, Mozilla Firefox y OpenOffice, entre otras, tienen el mayor número de vulnerabilidades. También ha aumentado el número de atacantes con las habilidades necesarias para descubrir vulnerabilidades a mayor velocidad. Una vez encontradas, pueden desplegar programas que automatizan la explotación de estas nuevas vulnerabilidades, que se distribuyen ampliamente y se venden en la dark web.
Por supuesto, no hay que olvidar también las populares aplicaciones de servidor. En el momento de escribir este artículo, Microsoft acababa de publicar parches para un nuevo fallo crítico zero-day de Exchange que los hackers y delincuentes patrocinados por el estado estaban y están explotando. Este incidente en particular es una excelente ilustración de por qué se debe parchear tan rápido como se pueda.
Se acabó el tiempo
Según Ponemon, el tiempo medio que tardan las empresas en parchear aplicaciones o sistemas es de 97 días. Sin embargo, el tiempo medio que se tarda en ver un ciberataque una vez que se publica un parche para una vulnerabilidad de seguridad crítica es de 43 días, lo que significa que hay una brecha de riesgo media de 59 días. Además, Ponemon afirma que el 57% de las víctimas de ciberataques dice que la aplicación de un parche habría evitado el ataque. El 34% dice que conocía la vulnerabilidad antes de los ciberataques.
Los ciberdelincuentes no hacen más que mejorar y acelerar la explotación de las vulnerabilidades, lo que obliga a las empresas a trabajar contrarreloj para desplegar los parches. Aunque puede ser factible hacerlo manualmente en entornos pequeños, es preferible automatizar las aplicaciones de parches. La automatización garantiza que se desplieguen lo más rápidamente posible y de forma coherente en toda la red.
La gestión automatizada no solo permite un despliegue eficiente, sino también métricas e informes más accesibles para dar a los CISO una mejor visibilidad del programa general de seguridad informática. En el caso de los parches críticos que requieren plazos ajustados para su despliegue, las organizaciones suelen considerarlos como cambios de emergencia preaprobados para sus procedimientos de gestión de cambios.
Lecciones aprendidas
Si hay alguna duda sobre la importancia de la gestión de parches, solo hay que echar un vistazo a todas las infracciones bien conocidas causadas por no haber parcheado una vulnerabilidad conocida. Se sabe que los atacantes explotan las vulnerabilidades apenas unos días después de la publicación de un parche, lo que demuestra que no aplicar un parche con la suficiente rapidez puede poner en peligro a una organización, así como a sus clientes.
Corey Nachreiner, CTO de WatchGuard Technologies