El mes pasado hablaba de la altĆsima frecuencia de actualización de Apps, motivada en gran medida por actualizaciones de seguridad. Esta vez seguimos con el tema y le toca a la mala calidad de los parches de seguridad del software en general. Nos referimos concretamente a parches incompletos o defectuosos, cuya frecuencia de publicación pueden estar entre dos y tres semanas segĆŗn quĆ© aplicaciones.
Porque resulta que la aplicación de múltiples actualizaciones para la misma vulnerabilidad cuesta a las empresas tiempo y dinero reales, a la vez que las expone a riesgos innecesarios.
SegĆŗn Trend Micro, podrĆa estar costando a las organizaciones mĆ”s de 400.000 dólares por actualización. Un desperdicio que resulta de la combinación del tiempo dedicado a la gestión de los parches, el coste de los recursos humanos necesarios de los especialistas de seguridad, y el nĆŗmero de aplicaciones a parchear.
Si a la mala calidad de los parches de seguridad le añadimos el menor tiempo de explotación, el resultado es verdaderamente explosivo
Este lĆder global en ciberseguridad lleva informando a travĆ©s de su equipo ZDI (Zero Day Initiative) sobre mĆ”s de 10.000 vulnerabilidades a los proveedores de software desde 2005. O sea, que algo de experiencia sĆ que tiene. Y ahora nos dice que cada vez se parchea peor.
Si combinamos la mala calidad de los parches con que en pocas organizaciones el tiempo de aplicación de los parches es menor que el tiempo de explotación, el resultado es verdaderamente explosivo.
Y aquà no termina el problema. Trend Micro ademÔs de calificar de inadecuados los parches, nos alerta sobre la documentación confusa y no fidedigna, que habitualmente acompaña a las actualizaciones.
En su dĆa, la empresa divulgaba sus hallazgos en un plazo aproximado de 180 dĆas. Posteriormente lo rebajó a 120, y acaban de revisar sus polĆticas segĆŗn el escenario. 30 dĆas para los casos mĆ”s crĆticos en los que se espera explotación, 60 dĆas para los fallos en los que el parche ofrece algunas protecciones, y 90 dĆas para otros casos en los que no se espera una explotación inminente. Ahora sólo queda que los proveedores aprovechen las alertas para ponerse las pilas. Pero ojalĆ” hicieran bien las cosas a la primera.