Recomendaciones para las organizaciones que se mantienen luchando con la aplicación de parches de seguridad
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Un análisis reciente de la unidad de investigación de SILIKN menciona que la tasa promedio de vulnerabilidades y exposiciones comunes (CVE) aumentará en un 238.6% durante 2024, lo cual indica que se presentarán más de 3,200 vulnerabilidades en promedio cada mes, en un entorno en donde las empresas están cada día haciendo frente a los retos de actualizar e instalar parches de seguridad en sus sistemas.
Un punto importante a señalar es que la administración adecuada de parches depende de factores importantes como el tamaño de una organización, la complejidad de un entorno de TI, la criticidad de los sistemas y la cantidad de recursos asignados para administrarlo todo, así que al desarrollar los planes de ciberseguridad, esto debe ser tomado en cuenta de forma prioritaria.
Una vez con el plan de ciberseguridad documentado y avalado por los directivos de las organizaciones, el siguiente paso es evaluar y priorizar los parches de seguridad.
No todas las vulnerabilidades se crean por igual, lo que significa que tampoco todos los parches. Pero como demostraron vulnerabilidades como WannaCry, la aplicación tardía de parches puede tener consecuencias catastróficas. Por lo tanto, es importante priorizar las actualizaciones que tengan la mayor gravedad de vulnerabilidades y la mayor exposición para cada entorno.
Por ejemplo, si tiene una actualización que afecta solo a unos pocos dispositivos y otra que afecta al 90% de sus dispositivos, pero ambas son críticas, concéntrese en la que podría tener el mayor impacto negativo y luego aborde el resto.
Una vez que se aborden las actualizaciones críticas, planee pasar a los parches no críticos, que a menudo son actualizaciones de controladores o software nuevo que mejoran la experiencia del usuario y priorice aquellos en función de la importancia para las operaciones del negocio.
Muchos usan el sistema de puntuación de vulnerabilidades comunes (CVSS) para ayudar a priorizar las actualizaciones, lo cual es un buen punto de partida. Solo recuerde que muchas vulnerabilidades clasificadas en un nivel de gravedad medio se ignoran, para posteriormente descubrir que son la fuente de múltiples infracciones.
Una vez que haya priorizado los tipos de actualizaciones, el siguiente paso es crear pautas para probarlas antes de que entren en producción.
Comience investigando los criterios de cada actualización e identificando qué componentes requieren pruebas. A continuación, instale cada actualización en al menos cinco dispositivos fuera de la red para probarlos con criterios de éxito probados. Registre la evidencia y haga que otra persona la revise. Asegúrese de averiguar si la actualización tiene un desinstalador y utilícelo para garantizar la eliminación completa y segura de los programas obsoletos.
También es probable que planee tener cientos de actualizaciones y parches todo el tiempo. Pero cuantas más actualizaciones se instalen en un momento dado, aumenta el riesgo de interrupción del usuario final, es decir, un mayor volumen de datos que se deben descargar, tiempos de instalación más prolongados, reinicios del sistema, etcétera.
Por lo tanto, el siguiente paso es evaluar el ancho de banda de su sistema, calcular el número total y el tamaño de las actualizaciones contra el número total de dispositivos y tipos. Esto puede evitar sobrecargas del sistema. En caso de duda, simplemente planee comenzar con cinco actualizaciones y luego vuelva a evaluar el ancho de banda.
Además, si sigue las mejores prácticas de gestión de cambios (como ITIL), es importante que se adhiera a esos procesos para obtener informes y auditabilidad adecuados. Por lo general, dichos procesos requieren documentación sobre qué actualizaciones se necesitan, el impacto en un usuario, evidencia de pruebas y cronogramas de puesta en marcha. La captura de estos datos correctamente a través de los pasos anteriores a menudo se requiere para las aprobaciones oficiales, ya que sirve como una única fuente confiable.
El siguiente paso es garantizar que la implementación se realice de manera segura. Se recomienda usar un calendario de administración de parches al realizar solicitudes de cambio y al programar o revisar nuevas actualizaciones de parches. Aquí es donde se definen las líneas de base para la cantidad de actualizaciones que se implementarán y en qué orden. Esto debería utilizar la información recopilada de los pasos anteriores. Una vez que se establece esa línea de base, se puede programar la implementación y automatizar donde sea necesario.
Un último paso: medir el éxito. Esto se puede manejar de varias maneras. Por ejemplo, por la cantidad de incidentes registrados en la mesa de ayuda, la facilidad con la que se puede seguir o repetir el proceso o la cantidad de informes positivos proporcionados por sus conjuntos de herramientas. Pero, en última instancia, lo que importa es una implementación rápida, procesos repetibles optimizados, una reducción de los requisitos manuales y, al final, una organización que es menos vulnerable a la explotación.
Un punto a enfatizar. Algunas organizaciones aún permiten que los usuarios tengan derechos de administrador local para la aplicación de parches. Esto genera importantes superficies de ataque y la realidad es que ningún equipo de TI debe depender de los usuarios finales para la aplicación de parches, pues los derechos generales de administración son demasiado riesgosos.
Algunos también confían en herramientas gratuitas, pero estas a menudo no brindan toda la seguridad necesaria para aplicar parches. Por lo general, tampoco brindan los informes necesarios para garantizar que los sistemas estén 100% protegidos. Y, por último, existe una dependencia excesiva a las actualizaciones automáticas. Las actualizaciones automáticas pueden proporcionar una falsa sensación de seguridad y pueden afectar la productividad si se activan durante las horas de trabajo.
En este sentido, las organizaciones continúan luchando con la aplicación de parches, por lo que esperamos que estas recomendaciones para la administración de parches ayude a su organización a crear un nuevo marco u optimizar uno existente.
Para más información, visite: https://www.silikn.com/