En su origen, la gestión de parches no era una cuestión de ciberseguridad, sino más bien un asunto de TI. No fue hasta la aparición del Código Rojo en 2001, cuando Microsoft empezó a publicar parches para cubrir las vulnerabilidades de seguridad de su software.
La gestión de parches, desde el punto de vista de la ciberseguridad, volvió a cobrar importancia con los ataques en masa de criptogusanos en 2009, 2011 y 2012, incluido WannaCry en 2017, que conmocionaría a la comunidad empresarial. Estos incidentes sentarían las bases para la adopción generalizada de la gestión de parches en las empresas. Hasta entonces, solo existían incidentes esporádicos de ciberseguridad, pero ningún ataque de magnitud significativa que involucrara virus y malware extendiéndose por toda la geografía.
A medida que estos ataques masivos – que infectaban redes enteras de inmensa magnitud – se hicieron más frecuentes, la industria pasó a desarrollar un sistema para catalogar y rastrear estas vulnerabilidades. El primero, creado en 1999, fue utilizado por primera vez por las agencias federales de Estados Unidos por recomendación del Instituto Nacional de Estándares y Tecnología, que publicó el «Use of the Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme» en 2002, actualizado en 2011. Sin embargo, su utilización a gran escala no ocurrió hasta 2011, con el desarrollo de la primera Base de Datos Nacional de Vulnerabilidad (NVD).
La NVD, que actúa como una base de datos de vulnerabilidad de ciberseguridad integrada, que incluye todos los recursos de vulnerabilidad del gobierno estadounidense de acceso público, ofrece referencias clave a los recursos de la industria. Está basada y sincronizada con la lista CVE, que utiliza un sistema de puntuación para calificar la gravedad del riesgo. El NVD llegó a convertirse en una herramienta eficaz, para que las organizaciones de seguridad hicieran un seguimiento de las vulnerabilidades y determinaran cuáles debían priorizarse en función de su nivel de riesgo.
A partir de 2011, la gestión de parches empezó a evolucionar hasta convertirse en una práctica de ciberseguridad recomendada en todo el sector. Sin embargo, a medida que el volumen de vulnerabilidades incluidas en la base de datos seguía creciendo, y la complejidad de la infraestructura de TI aumentaba, la gestión de parches llegó a convertirse en una tarea no tan fácil; sin duda, algo mucho más complicado que una simple actualización de software. Algunos sistemas son de misión crítica y no pueden permitirse una interrupción. Y algunas organizaciones no disponen de los recursos necesarios, ni en presupuesto ni en talento, para poner en marcha una prueba, desplegar e instalar parches de forma regular.
La creación del NVD supuso un importante primer paso para la industria en la gestión de vulnerabilidades y parches. Sin embargo, dos problemas emergentes darían lugar a las complicaciones que el sector está experimentando hoy en día con la gestión de parches. El primero es el tiempo. Una vez que un atacante, un investigador o una empresa identifican una vulnerabilidad, el reloj empieza a correr. Es una carrera contra el tiempo – desde el momento en que se identifica una vulnerabilidad hasta que se emite un parche y se aplica – para garantizar que la vulnerabilidad no será explotada por un mal actor. La latencia solía ser de 15 a 60 días en el pasado. Hoy en día, se reduce a un par de semanas.
Pero no todas las vulnerabilidades tienen solución. Existe la idea errónea de que todas pueden remediarse con un parche, pero no es así. Los datos muestran que solo el 10% de las vulnerabilidades conocidas pueden ser cubiertas por la gestión de parches. Esto significa que el otro 90% no puede ser parcheado, dejando a las organizaciones con dos opciones: cambiar el control de compensación o arreglar el código.
El segundo problema es el hecho de que la NVD ha pasado a convertirse en un arma para los malos actores. Aunque se diseñó para ayudar a las organizaciones a defenderse de los actores de amenazas, en poco tiempo la misma herramienta empezó a ser utilizada para lanzar ataques ofensivos. Sólo en los últimos cinco años, los ciberdelincuentes han perfeccionado sus estrategias gracias a la automatización y el aprendizaje automático. Hoy en día, pueden escanear rápida y fácilmente los sistemas sin parches, basándose en los datos de vulnerabilidad de la NVD. El aumento de la automatización y el aprendizaje automático ha permitido a los actores de las amenazas determinar rápidamente – mediante la comprobación cruzada con el NVD – qué versiones de software están siendo utilizados por una empresa para identificar lo que aún no está parcheado,
Existe en la actualidad una batalla asimétrica: por un lado, las organizaciones que intentan estar al tanto de la gestión de parches, para asegurarse de que cada una de las vulnerabilidades está corregida; y, por otro, los malos actores que buscan la única vulnerabilidad que aún no ha sido parcheada.
Todo se reduce a un parche que falta. Eso es todo lo que se necesita para que estalle un incidente de ciberseguridad. Por eso, la gestión de parches es ahora una parte obligada de la estrategia de seguridad de una organización, y no sólo una responsabilidad del departamento de TI.
La gestión de parches en la actualidad: una estrategia basada en el riesgo para vencer a los ciberdelincuentes
Al combinar la priorización de las vulnerabilidades basadas en el riesgo con la inteligencia de parches automatizada, las organizaciones pueden aplicar parches en función del nivel de riesgo de la amenaza.
Existen tres actores principales en la gestión de parches: los analistas de seguridad, los equipos de TI y los ciberdelincuentes. Lamentablemente, suele haber mucha fricción entre los expertos en ciberseguridad y los profesionales de TI, lo que les impide defenderse como es debido de los atacantes. Esto da lugar a una “amenaza asimétrica”, en la que el atacante sólo necesita conocer una vulnerabilidad para tener éxito, mientras que los defensores deben conocerlas todas para defenderse.
Los analistas de seguridad están continuamente clasificando y respondiendo a las amenazas y ataques de ciberseguridad. Además de estar al tanto de toda la información existente sobre ciberamenazas, para evaluar y entender su riesgo a menudo tienen que analizar múltiples herramientas de seguridad y todo tipo recursos para combatirlas, algo que con frecuencia ocurre cuando están bajo la presión de intentar hacer frente al ciberataque en cuestión.
Mientras tanto, los equipos de TI tienen como prioridad mantener la disponibilidad del sistema y la capacidad de respuesta, algo que les hace desconfiar de la aplicación de parches, a menos que se pueda identificar el riesgo prioritario en el ataque. Deben conjugar la necesidad de mantener la actividad con la necesidad de aplicar parches de seguridad, que no están planificados y que podrían afectar negativamente al rendimiento y fiabilidad del sistema, si previamente no se han probado o analizado. Estos profesionales también suelen trabajar en silos, gestionando el mantenimiento de TI y el riesgo para sus áreas de responsabilidad.
Por otra parte están los actores de las amenazas, que se aprovechan de estas brechas de seguridad de la organización para lanzar ataques sofisticados a gran escala. Cada vez utilizan más el cibercrimen-como-servicio para conseguir el mayor impacto. Por ejemplo, Conti es una de las mayores bandas de ransomware de la actualidad, que opera bajo un modelo de ransomware- como- servicio. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI), observaron recientemente un aumento en el uso del ransomware Conti en más de 400 ataques a organizaciones estadounidenses e internacionales.
La evolución de la gestión de parches: cómo y cuándo se empezó a complicar todo
Para ganar la batalla contra el ransomware y defenderse eficazmente contra la ciberdelincuencia, los equipos de seguridad y de TI deben trabajar juntos. Deben unirse en un propósito común para luchar contra los atacantes. Deben colaborar para unir esfuerzos y reducir el tiempo de parcheo, poniéndoselo tan difícil a los atacantes que lleguen a darse por vencidos y desvíen su foco a otro objetivo.
Aquí es donde entra en juego el concepto de gestión de vulnerabilidades basadas en el riesgo. Es imposible para los equipos de TI y de seguridad parchear todo, por lo que deben priorizar. Además, no todas las vulnerabilidades son iguales; de hecho, menos del 10% tienen exploits conocidos. Por tanto, deben parchear únicamente en función del impacto y del contexto de la amenaza activa. Hoy en día, existen 200.000 vulnerabilidades únicas, y 22.000 de ellas tienen parches. Sin embargo, de las 25.000 vulnerabilidades suceptibles de ser explotadas o convertirse en malware, sólo 2.000 tienen parches. Esto significa que los equipos de TI y de seguridad deben ignorar automáticamente los otros 20.000.
A partir de ahí, las organizaciones deben identificar las vulnerabilidades que representan un mayor riesgo. Digamos que 6.000 son capaces de ejecutar código remoto, y que solo hay disponibles 589 parches. Pero de esas 6.000, sólo 130 son de tendencia activa, lo que significa que los atacantes van a ciegas intentando explotarlas. Y para esas 130, solo existen 68 parches disponibles. Los equipos de TI y de seguridad deben dar prioridad a la aplicación de esos 68 parches.
Los principales líderes de la industria, los profesionales y los analistas recomiendan un modelo de seguridad basado en el riesgo para identificar y priorizar los puntos débiles de la vulnerabilidad, y a continuación acelerar la corrección. En Estados Unidos, La Casa Blanca publicó recientemente un memorando animando a las organizaciones a utilizar una estrategia de evaluación basada en el riesgo para impulsar la gestión de parches y reforzar la ciberseguridad contra los ataques de ransomware.
Como conclusión, las empresas deben enfocarse en parchear la exposición de mayor riesgo. Para ello, necesitan conocer cada parche y las vulnerabilidades asociadas que son explotables y tienen vínculos con el ransomware.
Al combinar la priorización de vulnerabilidades basada en el riesgo y la inteligencia de parches automatizada, las organizaciones pueden garantizar la priorización de los parches en función del riesgo que represente cada amenaza.
El futuro en la gestión de parches: la Automatización
Los próximos cinco años supondrán el uso generalizado de la hiperautomatización en la gestión de parches.
En lo que se refiere a la ciberseguridad, existen dos disciplinas que toda organización debe tener en cuenta: generar un código seguro y mantener una buena ciberhigiene. A medida que el desarrollador genera un código, resulta imperativo detectar de forma inmediata los puntos débiles de seguridad, para evitar tener que lidiar con ellos más adelante. En cuanto a la ciberhigiene, la gestión de parches seguirá siendo la medida proactiva más importante que las organizaciones podrán adoptar para proteger su tecnología. Los principios de shift-izquierda y shift-derecha son bien conocidos y discutidos dentro de la seguridad de las aplicaciones; deberíamos hacerlos extensivos también a la gestión de dispositivos.
Y este es el motivo: las vulnerabilidades sin parches siguen siendo uno de los puntos de infiltración más comunes de los ciberataques en la actualidad, ya sea que el exploit tenga lugar en una violación de datos o en la entrega de un ransomware. Los incidentes de seguridad causados por vulnerabilidades sin parchear seguirán aumentando, debido a la rápida transición a la nube, necesaria para reforzar la generalización del trabajo en remoto que trajo consigo la pandemia. Y la gestión de parches, que de por sí ya era complicada, va a resultar aún mucho más difícil. Para ilustrar esto, una reciente encuesta descubrió que la aplicación de parches sigue encontrando reticencias por parte de las empresas, tanto en cuanto a la falta de recursos como en cuanto a la desconfianza en su fiabilidad. Así, un 62% de los encuestados reconoce relegar a un segundo plano la aplicación continuada de parches con respecto a otras tareas, y un 60% que afirma que la aplicación de parches interrumpe el ritmo de trabajo de los usuarios.
Lo que está claro es que esta situación no podrá mantenerse a largo plazo. Actualmente vivimos en un entorno en el que no existe el perímetro de seguridad, en el que la superficie de ataque y el radio de exposición se han ampliado considerablemente. Esto se ve agravado por el hecho de que la rapidez en la generación de amenazas ha aumentado de forma exponencial.
En el mundo actual, las organizaciones deben tener en cuenta todas las áreas de exposición potencial: desde las API, hasta los contenedores, pasando por la nube y todos los dispositivos que acceden a la red desde diferentes lugares. Es evidente que no hay forma de recopilar, descubrir y analizar manualmente este tipo de datos en el tiempo necesario para desplegar un parche antes de que se explote una vulnerabilidad no parcheada. Humanamente, es imposible.
Sin embargo, la gestión de parches ha evolucionado hasta el punto en que su aplicación se basa en el riesgo. Esto es bueno, pero no será suficiente a medida que las vulnerabilidades evolucionen y la infraestructura y los dispositivos de TI sigan extendiéndose por las redes. Por este motivo, el futuro de la gestión de parches dependerá de la automatización, o de la hiperautomatización, para ser más exactos. Las organizaciones deben ser proactivas y predictivas en tiempo real, para poder identificar, comprender y responder a los patrones que impone la velocidad de la máquina, y mantenerse al día en cuanto al grado de sofisticación de los actores de las amenazas. Si existe una vulnerabilidad, un exploit y una solución conocida, los equipos de seguridad deben tener la capacidad de remediarlo de forma proactiva y predictiva, con muy poca intervención humana.
Hoy en día, todo el mundo habla de MLOps (Operaciones de Aprendizaje Automático), AIOps (Operaciones de Inteligencia Artificial) y DataOps (Operaciones de Datos). Estas prácticas empezarán a tener menos importancia a medida que avancemos hacia la eficiencia operativa, a través de la hiperautomatización. Deberíamos esperar ver una convergencia de la gestión de la exposición y el análisis de las amenazas, que permita a las organizaciones gestionar las exposiciones de una manera más automatizada mediante el uso de herramientas como la inteligencia artificial y el aprendizaje automático, con el fin de examinar la inteligencia de las amenazas a la velocidad de una máquina, con muy poca intervención humana. Habrá un componente humano en el bucle, en el que la automatización realizará la mayor parte del trabajo, y el análisis y el ser humano sólo serán el árbitro final que toma la acción más apropiada basada en un análisis previo.
El futuro de la gestión de parches se centrará en la automatización, especialmente en la automatización del proceso de exploración de vulnerabilidades. Debemos entender la gestión de parches como se entiende la atención sanitaria preventiva. La supervisión de la salud de nuestros entornos informáticos empresariales seguirá creciendo en complejidad, al igual que la supervisión de la salud de toda una población humana durante una pandemia, por lo que es hora de empezar a pensar en herramientas como la automatización.
