Existen tres actores principales en la gestión de parches: los analistas de seguridad, los equipos de TI y los ciberdelincuentes. Lamentablemente, suele haber mucha fricción entre los expertos en ciberseguridad y los profesionales de TI, lo que les impide defenderse como es debido de los atacantes. Esto da lugar a una “amenaza asimétrica”, en la que el atacante sólo necesita conocer una vulnerabilidad para tener éxito, mientras que los defensores deben conocerlas todas para defenderse.
Los analistas de seguridad están continuamente clasificando y respondiendo a las amenazas y ataques de ciberseguridad. Además de estar al tanto de toda la información existente sobre ciberamenazas, para evaluar y entender su riesgo a menudo tienen que analizar múltiples herramientas de seguridad y todo tipo recursos para combatirlas, algo que con frecuencia ocurre cuando están bajo la presión de intentar hacer frente al ciberataque en cuestión.
Mientras tanto, los equipos de TI tienen como prioridad mantener la disponibilidad del sistema y la capacidad de respuesta, algo que les hace desconfiar de la aplicación de parches, a menos que se pueda identificar el riesgo prioritario en el ataque. Deben conjugar la necesidad de mantener la actividad con la necesidad de aplicar parches de seguridad, que no están planificados y que podrían afectar negativamente al rendimiento y fiabilidad del sistema, si previamente no se han probado o analizado. Estos profesionales también suelen trabajar en silos, gestionando el mantenimiento de TI y el riesgo para sus áreas de responsabilidad.
La evolución de la gestión de parches: cómo y cuándo se empezó a complicar todo
Leer más
Por otra parte están los actores de las amenazas, que se aprovechan de estas brechas de seguridad de la organización para lanzar ataques sofisticados a gran escala. Cada vez utilizan más el cibercrimen-como-servicio para conseguir el mayor impacto. Por ejemplo, Conti es una de las mayores bandas de ransomware de la actualidad, que opera bajo un modelo de ransomware-as-a-service (RaaS). La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI), observaron recientemente un aumento en el uso del ransomware Conti en más de 400 ataques a organizaciones estadounidenses e internacionales.
Para ganar la batalla contra el ransomware y defenderse eficazmente contra la ciberdelincuencia, los equipos de seguridad y de TI deben trabajar juntos. Deben unirse en un propósito común para luchar contra los atacantes. Deben colaborar para unir esfuerzos y reducir el tiempo de parcheo, poniéndoselo tan difícil a los atacantes que lleguen a darse por vencidos y desvíen su foco a otro objetivo.
Aquí es donde entra en juego el concepto de gestión de vulnerabilidades basadas en el riesgo. Es imposible para los equipos de TI y de seguridad parchear todo, por lo que deben priorizar. Además, no todas las vulnerabilidades son iguales; de hecho, menos del 10% tienen exploits conocidos. Por tanto, deben parchear únicamente en función del impacto y del contexto de la amenaza activa.
Los equipos de TI y de seguridad deben ignorar automáticamente los otros 20.000
Hoy en día, existen 200.000 vulnerabilidades únicas, y 22.000 de ellas tienen parches. Sin embargo, de las 25.000 vulnerabilidades suceptibles de ser explotadas o convertirse en malware, sólo 2.000 tienen parches. Esto significa que los equipos de TI y de seguridad deben ignorar automáticamente los otros 20.000.
A partir de ahí, las organizaciones deben identificar las vulnerabilidades que representan un mayor riesgo. Digamos que 6.000 son capaces de ejecutar código remoto, y que solo hay disponibles 589 parches. Pero de esas 6.000, sólo 130 son de tendencia activa, lo que significa que los atacantes van a ciegas intentando explotarlas. Y para esas 130, solo existen 68 parches disponibles. Los equipos de TI y de seguridad deben dar prioridad a la aplicación de esos 68 parches.
Los principales líderes de la industria, los profesionales y los analistas recomiendan un modelo de seguridad basado en el riesgo para identificar y priorizar los puntos débiles de la vulnerabilidad, y a continuación acelerar la corrección. En Estados Unidos, la Casa Blanca publicó recientemente un memorando animando a las organizaciones a utilizar una estrategia de evaluación basada en el riesgo para impulsar la gestión de parches y reforzar la ciberseguridad contra los ataques de ransomware.
Las empresas deben enfocarse en parchear la exposición de mayor riesgo
Como conclusión, las empresas deben enfocarse en parchear la exposición de mayor riesgo. Para ello, necesitan conocer cada parche y las vulnerabilidades asociadas que son explotables y tienen vínculos con el ransomware.
Al combinar la priorización de vulnerabilidades basada en el riesgo y la inteligencia de parches automatizada, las organizaciones pueden garantizar la priorización de los parches en función del riesgo que represente cada amenaza.
Autor: Srinivas Mukkamala, vicepresidente senrio de Producto de Ivanti
Si (
No(
