El mes pasado hablaba de la altĆsima frecuencia de actualizaciĆ³n de Apps, motivada en gran medida por actualizaciones de seguridad. Esta vez seguimos con el tema y le toca a la mala calidad de los parches de seguridad del software en general. Nos referimos concretamente a parches incompletos o defectuosos, cuya frecuencia de publicaciĆ³n pueden estar entre dos y tres semanas segĆŗn quĆ© aplicaciones.
Porque resulta que la aplicaciĆ³n de mĆŗltiples actualizaciones para la misma vulnerabilidad cuesta a las empresas tiempo y dinero reales, a la vez que las expone a riesgos innecesarios.
SegĆŗn Trend Micro, podrĆa estar costando a las organizaciones mĆ”s de 400.000 dĆ³lares por actualizaciĆ³n. Un desperdicio que resulta de la combinaciĆ³n del tiempo dedicado a la gestiĆ³n de los parches, el coste de los recursos humanos necesarios de los especialistas de seguridad, y el nĆŗmero de aplicaciones a parchear.
Si a la mala calidad de los parches de seguridad le aƱadimos el menor tiempo de explotaciĆ³n, el resultado es verdaderamente explosivo
Este lĆder global en ciberseguridad lleva informando a travĆ©s de su equipo ZDI (Zero Day Initiative) sobre mĆ”s de 10.000 vulnerabilidades a los proveedores de software desde 2005. O sea, que algo de experiencia sĆ que tiene. Y ahora nos dice que cada vez se parchea peor.
Si combinamos la mala calidad de los parches con que en pocas organizaciones el tiempo de aplicaciĆ³n de los parches es menor que el tiempo de explotaciĆ³n, el resultado es verdaderamente explosivo.
Y aquĆ no termina el problema. Trend Micro ademĆ”s de calificar de inadecuados los parches, nos alerta sobre la documentaciĆ³n confusa y no fidedigna, que habitualmente acompaƱa a las actualizaciones.
En su dĆa, la empresa divulgaba sus hallazgos en un plazo aproximado de 180 dĆas. Posteriormente lo rebajĆ³ a 120, y acaban de revisar sus polĆticas segĆŗn el escenario. 30 dĆas para los casos mĆ”s crĆticos en los que se espera explotaciĆ³n, 60 dĆas para los fallos en los que el parche ofrece algunas protecciones, y 90 dĆas para otros casos en los que no se espera una explotaciĆ³n inminente. Ahora sĆ³lo queda que los proveedores aprovechen las alertas para ponerse las pilas. Pero ojalĆ” hicieran bien las cosas a la primera.
