En el pasado, la gestión de parches no era un problema de ciberseguridad, sino un problema de TI.
La gestión de parches como seguridad volvió a cobrar protagonismo con los gusanos masivos de Internet de 2009, 2011 y 2012, incluido WannaCry en 2017, que conmocionó a la industria con consecuencias devastadoras. Estos incidentes sentaron las bases para la adopción generalizada de ciclos regulares de parchado en las empresas.
A partir de 2011 es cuando la gestión de parches empezó a evolucionar hasta convertirse en una práctica recomendada de seguridad. Sin embargo, a medida que el volumen de vulnerabilidades seguía creciendo, y la complejidad de la infraestructura de TI aumentaba, la gestión de parches se convertía en una tarea difícil.
Ahora tenemos una guerra asimétrica: las organizaciones que intentan estar al día con la gestión de los parches y los atacantes buscan la vulnerabilidad que aún no ha sido parchada. Todo lo que se necesita para un incidente es la ausencia de un parche. Por eso, la gestión de parches no es sólo una responsabilidad de TI.
Hay tres actores principales cuando se trata de la gestión de parches: los analistas de seguridad, los de TI y los atacantes. Los primeros están continuamente clasificando y respondiendo a las amenazas y ataques de ciberseguridad. Mientras tanto, los equipos de TI se encargan de la disponibilidad y la capacidad de respuesta del sistema, lo que les hace dudar a la hora de aplicar parches a menos que se pueda comunicar el riesgo. Y luego están los atacantes, que se aprovechan de estas brechas de seguridad para lanzar sofisticados ataques. Por ejemplo, Conti es una de las mayores bandas de ransomware de la actualidad, que opera bajo un modelo de ransomware como servicio.
Para ganar la guerra contra el ransomware, los equipos de seguridad y de TI deben trabajar juntos. Deben unirse en un propósito común, luchar contra los atacantes. Deben colaborar para reducir el tiempo del parchado.
Aquí es donde entra en juego el concepto de gestión de vulnerabilidades basada en el riesgo. Es imposible para los equipos de TI y de seguridad parchar todo, por lo que deben priorizar. Además, no todas las vulnerabilidades son iguales; de hecho, menos del 10% tienen exploits conocidos. Los equipos de TI y de seguridad deben aplicar parches en función del impacto y del contexto de la amenaza activa.
Los líderes de la industria recomiendan un enfoque basado en el riesgo para identificar y priorizar las vulnerabilidades y luego acelerar el parchado o mitigación.
En consecuencia, las organizaciones deben centrarse en aplicar parches basándose en la exposición de mayor riesgo. Para ello, es necesario contar con información sobre las vulnerabilidades que son explotables y tienen vínculos con el ransomware. Al aprovechar una combinación de priorización de vulnerabilidades basada en el riesgo y la inteligencia de parches automatizada, las organizaciones pueden garantizar que los parches se prioricen en función del riesgo de las amenazas.
Lo que viene para la gestión del parchado: Automatización
En los próximos cinco años se hará uso de la hiperautomatización en la gestión de parches. Para la ciberhigiene, la gestión de parches seguirá siendo la medida proactiva más importante que las organizaciones pueden tomar para proteger sus sistemas y aplicaciones.
El futuro de la gestión de parches se centrará en la automatización, especialmente en la automatización del proceso de exploración de vulnerabilidades. Debemos tratar la gestión de parches como la atención necesaria. La supervisión de nuestros entornos informáticos seguirá creciendo en complejidad, al igual que la supervisión de la salud de toda una población humana durante una pandemia, por lo que es hora de empezar a pensar en la automatización del parchado.
Acerca del autor:
Miguel Rosales M. es fundador y CEO de Adaptive Security, cuenta con una especialización en Cybersecurity en el Massachusetts Institute of Technology (MIT) y con la certificación internacional ISC2 – Certified Information Systems Security Professional (CISSP).