¿Por qué “¡simplemente parchear!” no es tan fácil como se cree?
Dustin Childs, Zero Day Initiative Communications de Trend Micro, reflexiona en esten artículo sobre lo complicado que resulta mantener parcheados los sistemas.
En Zero Day Initiative (ZDI), vemos los parches de una manera que pocos lo hacen. Recibimos el informe inicial de un investigador, verificamos el problema internamente, notificamos al proveedor y finalmente publicamos algunos detalles una vez que se publica un parche. Esos parches representan el mejor método para prevenir ciberataques. Recientemente, un problema parcheado por Microsoft en marzo de 2017 ha sido utilizado por el malware, conocido como Wanna, Wannacry o Wcry, para infectar sistemas globalmente con ransomware.
¿Cómo podría algo arreglado hacía más de 60 días causar tanta destrucción en todo el mundo? ¿Por qué las personas no pueden simplemente aplicar los parches y ya está? A veces aplicar los parches no es tan fácil como suena, especialmente para las empresas.
Paso 1: Preparación para el parche
Para establecer una estrategia de parches completa, las organizaciones necesitan identificar los activos que poseen. Esta tarea suele ser más difícil de lo que parece. Las empresas tienen la opción de utilizar una mezcla de software de código abierto (OSS) o herramientas comerciales para identificar y catalogar todos los sistemas y dispositivos de su red. Incluso si el software que utilizan es gratuito, la implementación de la solución tiene costes. Una vez que una empresa determina qué necesita estar protegida, entonces, debe crear y documentar un proceso para actualizar estos dispositivos. Esto incluye actualizaciones no sólo para estaciones de trabajo y servidores, sino también para dispositivos de red como routers y switches. Hay que tomar decisiones.
¿Se utilizará un sistema automatizado o un administrador tendrá que tocar físicamente la máquina? Dado que los parches de seguridad a menudo necesitan un reinicio del sistema, u otro tipo de interrupción del flujo de trabajo, ¿en qué momento se aplicarán los parches? La documentación de la estrategia de parche garantiza la uniformidad y la consistencia del parcheado en toda la empresa.
Paso 2: Encontrar el parche
Ahora todo lo que se necesita hacer es encontrar algunos parches. Tener una estrategia sólida es algo inútil si los responsables no están suscritos a las listas de correo electrónico apropiadas, los canales RSS, las cuentas de Twitter y otros métodos utilizados por los proveedores para anunciar la publicación de un nuevo parche. Algunos fabricantes se comunican de forma más sólida que otros. Una vez que encuentre el parche, debe determinar cómo instalarlo. Las pequeñas empresas pueden considerar hacerlo manualmente. Sin embargo, cualquier empresa con más de un puñado de máquinas debe invertir en herramientas automatizadas. Al igual que las herramientas destinadas a identificar los activos, hay muchas opciones de costes variables. Sin embargo, los costes de un sistema automatizado superan con creces a los costes de la instalación manual.
Paso 3: Probar el parche
Hay sólo un paso final que una empresa debe considerar antes de implementar cualquier parche: las pruebas. Reparar y restaurar los sistemas afectados por un parche defectuoso es tanto perjudicial, perturbador y costoso. Para evitar esto, hay varias formas de pruebas. Si existen recursos, la cantidad mínima de pruebas debe involucrar la aplicación del parche a un sistema similar en un entorno que no sea de producción para asegurarse de que las funciones empresariales continúan después de instalar el parche.
Paso 4: ¡Parchear!
Una vez que identifique sus activos, documente sus procesos, encuentre los parches correspondientes, instale las implementaciones automatizadas de parches y pruebe el parche – ¡felicidades! ¡Ahora puede instalar ese parche!
Más allá de la complejidad del parche en la empresa, también hay una barrera psicológica con los parches que mucha gente necesita superar. En pocas palabras, la gente tiene miedo de parches de seguridad por varias razones.
- Los parches de seguridad destinados a cerrar agujeros terminan perjudicando a otro software, o incluso dejando todo el sistema inutilizable.
- Por otro lado, hay veces en que el parche no soluciona el problema raíz.
- Algunos proveedores han optado por incluir software adicional o características no deseadas por los usuarios, como cambiar el navegador predeterminado con un parche de mensajería instantánea no relacionado.
- Quizás en el peor de los casos, ha habido parches de seguridad que terminaron introduciendo vulnerabilidades de seguridad adicionales
Mientras el conjunto de la industria ha mejorado con los años, los problemas, incluyendo los temores históricos, siguen estando ahí.
La vulnerabilidad utilizada en Wcry se enumeró en un volcado de herramientas supuestamente utilizadas por la NSA junto con algo llamado EwokFrenzy. En el programa ZDI conocíamos a EwokFrenzy como ZDI-07-011, cuando apareció hace 10 años. ¿Eso implica que el exploit seguía siendo efectivo 10 años después de que se fabricase un parche? Eso parece probable. También es el último punto de datos en más de dos décadas de demandar regularmente parches y políticas de copia de seguridad sólidas.
No es fácil. No es simple. A menudo no es barato. Sin embargo, el coste potencial (tanto financiero como para la reputación de la organización) de dejar vulnerabilidades sin reparar supera con creces el coste del parche. La recuperación después de los ataques es más difícil, más compleja y más cara, es hora de admitir y abordar la cuestión de los parches.