Parchar o no parchear

Mientras el mundo de la seguridad de la información estaba en crisis luego de un total de siete vulnerabilidades de día cero en MS Exchange y el llamado ataque Hafnium, una cosa me vino a la mente y me dejó pensando: durante los últimos 20 años, los parches han ha sido un tema de discusión que se repite constantemente. Y como acabamos de parchear nuestros servidores de MS Exchange, tenemos que volver a hacerlo.

Esta semana, Microsoft advierte nuevamente a las organizaciones sobre dos nuevas vulnerabilidades críticas en Exchange Server 2013, 2016 y 2019 que permitirían a un atacante hacerse cargo de forma remota de los servidores vulnerables. Hasta donde se sabe, las vulnerabilidades de seguridad aún no han sido explotadas, pero Microsoft está tomando en cuenta que esto sucederá. Las vulnerabilidades, identificadas como CVE-2021-28480 y CVE-2021-28481, recibieron una calificación de 9,8 en una escala de 1 a 10 en términos de gravedad. La agencia de inteligencia estadounidense NSA descubrió e informó sobre las fallas de seguridad a Microsoft. Sin embargo, los investigadores de la empresa de tecnología también encontraron las vulnerabilidades independientemente de la NSA.

La única constante que sigue apareciendo a lo largo de cualquier discusión actual sobre una falla de seguridad crítica es la velocidad con la que se están reparando los sistemas vulnerables. En el caso de Hafnium, decenas de miles de sistemas en todo el mundo permanecieron sin parches incluso más de una semana después de que se conoció la noticia, y ahora, un mes después, solo estamos comenzando a ver los efectos de algunos de los ataques, donde el ransomware fue desplegado. Existen informes similares en muchas de las fallas de seguridad de alto perfil en los últimos años. Las razones de los retrasos en la implementación de actualizaciones críticas han sido aproximadamente las mismas durante décadas: el proceso de implementación no es trivial, los parches requieren pruebas antes de entrar en producción o una actualización no se percibe como tan crítica para la organización por varias razones.

En los últimos años, esta situación no se vio favorecida por la frecuencia y el volumen cada vez mayores con los que se emiten actualizaciones y parches. Para disgusto de muchos administradores, empresas como Microsoft han aumentado sus actividades a dos actualizaciones importantes por año. Esto ha llevado a situaciones en las que los administradores acaban de resolver los problemas que surgieron durante la implementación, momento en el que la próxima actualización importante está a la vuelta de la esquina. Esta sería una situación desafiante, pero en la mayoría de las organizaciones, hay muchas otras aplicaciones que requieren actualizaciones. Y aquí es donde comienza el problema: no todas las actualizaciones son compatibles con todas las demás. En la mayoría de los casos, la administración de TI simplemente asume que los administradores ‘simplemente hacen actualizaciones en un lado’ y las perciben como parte integrante del trabajo diario del equipo de TI. A menudo, esto no está muy lejos de la verdad. Pero en la práctica, el trabajo de mantener actualizado todo el software a menudo queda sepultado bajo un montón de otras obligaciones. Y seamos honestos: instalar actualizaciones no es la actividad más emocionante y divertida del mundo.

Los departamentos de TI que constantemente carecen de personal se convierten en la gota que colma el vaso: simplemente no pueden seguir el ritmo.

No se trata solo de parchear

En este punto, debemos dar un paso atrás. Uno podría tener la impresión de que la seguridad se trata de actualizaciones y parches. Y si bien esos son sin duda un componente crítico en la cadena de seguridad, no lo son todo. Recuerde, la seguridad no debe tener puntos únicos de falla. Es importante darse cuenta de que la administración de parches no es garantía de una red segura. Además de la gestión de parches , medidas como autenticación multifactor, cortafuegos, IPS, cifrado, un sistema de seguridad de punto final antivirus bien diseñado con las últimas tecnologías de inteligencia artificial y capacitaciones repetitivas de concienciación sobre seguridad.son indispensables. Ningún componente puede garantizar la seguridad de una organización. La seguridad es siempre el resultado de una combinación de varios factores. Del mismo modo, una brecha en la seguridad siempre debe requerir que varios componentes fallen. Un colapso total de la seguridad debido a una sola acción o factor es un indicador claro de que las cosas han salido muy mal.

¿Que hacemos ahora?

Una de las razones más importantes para no implementar un parche o una actualización de inmediato es la falta de un entorno de prueba en algunas organizaciones. Un problema que se escucha con frecuencia es que las empresas han experimentado problemas en el pasado al parchear una aplicación crítica. El resultado es que son reacios a implementar parches rápidamente y quieren probarlos con mucha anticipación, para minimizar cualquier impacto negativo en el negocio diario. Este hecho aparentemente mundano subraya una cruda realidad: las organizaciones tienen menos miedo de una brecha de seguridad que de que las cosas se conviertan en problemas con un parche o actualización.

Esta no es una buena situacion. La organización debe establecer pautas claras sobre qué parchear y cómo, y también cuándo. El sistema CVSS es un buen punto de partida. En base a esto, cualquier actualización que sea crítica para la seguridad puede (y debe) acelerarse de todas las formas posibles. Si bien no sugiero que se renuncie por completo a las pruebas de parches críticos, el tiempo que tarda una organización en probar un parche debe ser lo más breve posible. En última instancia, el objetivo debería ser implementar parches críticos en un par de días como máximo. Mientras tanto, cualquier solución alternativa o estrategia de remediación que se pueda utilizar debe evaluarse y ponerse en práctica si es posible.

Herramientas, técnicas y procedimientos

Desafortunadamente, también existe el hecho de que las empresas especialmente pequeñas simplemente no tienen las herramientas necesarias a mano para ver qué parches están disponibles. Por ejemplo, pueden ver que hay un parche disponible para Windows, pero es posible que no sepan que se han lanzado parches para otras aplicaciones. Esto requiere muchos ajustes manuales y más trabajo preliminar del que debería ser necesario. Algo de esto se puede remediar adquiriendo las herramientas adecuadas, en forma de una solución de administración de parches.

Sin embargo, incluso si se tienen en cuenta las herramientas y las prioridades, todavía hay oportunidades para que se pongan llaves en las obras: Shadow IT. El término incluye cualquier software “no estándar”, es decir, programas que no están en la lista de programas utilizados por la organización. Esos pueden ser programas en los dispositivos de los empleados, que fueron instalados por los propios empleados. E incluso si vale la pena tener programas útiles y valiosos: si el departamento de TI no lo sabe, los parches de ese software simplemente se pierden, incluidos los parches que pueden resultar críticos. Entonces, si un programa “no estándar” es lo suficientemente útil y tiene una razón válida para ser utilizado, podría ser una buena idea agregarlo al catálogo de software de la organización.

Futuro del parcheo

En el futuro previsible, los humanos seguirán involucrados en la programación y, por lo tanto, cometerán errores en los miles de millones de líneas de código de software. Por lo tanto, también seguiremos viendo el parche como el mal necesario. Sin embargo: veo un aumento en el parcheo automático, incluso para parches críticos, como una posible solución en los próximos años para todos los sistemas operativos. Eso no resolverá el problema de las vulnerabilidades de día cero, ya que podría convertirse en el mayor problema en los próximos años. Ahora que tal vez millones de código de programación fueron robados en el hafnio y los Solarwinds ataques en realidad no podemos negar que las debilidades de día cero podrían convertirse en una tendencia más grande que justifica una acción mucho más rápido que muchas empresas hoy en día están configurados para ofrecer.

Enlace: https://www.gdatasoftware.com/blog/2021/04/36754-to-patch-or-not-to-patch Blog De G DATA Eddy Willems