¿Recuerdas el Código Rojo? No el de la película: ¡Algunos hombres buenos! El Código Rojo que asoló Internet el 15 de julio de 2001. Tal fue la magnitud de la interrupción que creó este gusano informático que llevó a Microsoft a comenzar a parchear las vulnerabilidades del software. Antes de Code Red, la gestión de parches tenía que ver con TI, no con ciberseguridad. Mientras tanto, los gusanos informáticos continuaron con sus ataques. Finalmente, en mayo de 2017, apareció el notorio criptogusano ransomware: WannaCry. Seguro que causó muchos problemas a los equipos de seguridad y TI de Microsoft. También hizo que las organizaciones tomaran conciencia de que la gestión de parches no es sólo un proceso que es bueno tener, ¡es una necesidad absoluta!
A medida que la tecnología y las economías crecieron, las pequeñas tiendas de comestibles se convirtieron en supermercados y ahora en hipermercados. Los especialistas en marketing, ventas y éxito del cliente pasaron de la personalización a la hiperpersonalización. Por lo tanto, el siguiente capítulo en la gestión de parches para cada organización es simple: automatización, más bien, hiperautomatización.
Gestión de parches: el estado actual de las cosas
No hay duda de que los fabricantes de sistemas operativos han aprendido de ataques anteriores a nivel empresarial y han evolucionado. Pero los actores de amenazas en estos días también están evolucionados y están en alboroto las 24 horas del día, los 7 días de la semana. Se alimentan de vulnerabilidades de software y aplicaciones. Les das una pulgada y recorrerán una milla. Lo crean o no, amigos de SaaS, hay operaciones en marcha como cibercrimen como servicio y ransomware como servicio.
El estado actual de manejo de parches como la mayoría de los CIO estarían de acuerdo, gira en torno al análisis de riesgos. Los equipos de seguridad analizan las vulnerabilidades del sistema operativo y de las aplicaciones y las priorizan, y los equipos de TI implementan parches para corregir esas vulnerabilidades o errores. A menos que estos riesgos se prioricen y se comuniquen con anticipación, su TI se mostrará reacia a implementar parches.
En la actualidad, el mayor problema para los equipos de TI a la hora de publicar parches de forma proactiva es la disponibilidad y la capacidad de respuesta de los dispositivos. Entonces, si no hay una alerta roja para un parche en particular, los equipos de TI no lo enviarán a los dispositivos. Y tienen un argumento sólido: el tiempo de inactividad del dispositivo. Por ejemplo, la computadora portátil de su vendedor que está en medio de una presentación de reunión importante no puede mostrar de repente el mensaje "actualizando dispositivo, espere". Esto es más o menos lo que sucede en la mayoría de las organizaciones. Es un columpio entre el tiempo de inactividad del dispositivo y la seguridad del dispositivo. El equilibrio no es fácil de establecer. Luego vienen las matemáticas (la combinación de probabilidades de vulnerabilidades) porque no todas las vulnerabilidades tienen implicaciones graves de explotación por parte de los actores de amenazas.
Los actores de amenazas merodean alrededor del equilibrio que acabamos de mencionar. Los profesionales de la seguridad de todo el mundo son conscientes de las amenazas de ransomware. Hay bandas de ransomware como servicio (digamos RaaS) como Conti cazando en la web. A los ciberdelincuentes les encantan las brechas o silos que pueden aparecer entre sus departamentos de TI y seguridad. En septiembre de 2021, una iniciativa conjunta entre el FBI y CISA concluyó que Conti RaaS provocó más de 400 ataques contra organizaciones globales y con sede en Estados Unidos.
Es posible que el estado actual de la gestión de parches no se mantenga en el futuro. Los equipos de TI y ciberseguridad necesitan una mayor colaboración, ya que el análisis de riesgos basado en prioridades para las actualizaciones de parches no será suficiente en los próximos años.
Mapeando el camino a seguir
Derrotar el enfoque implacable de los jugadores de RaaS como Conti y otros actores de amenazas individuales no es un paseo por el parque. Los equipos de TI y ciberseguridad de las organizaciones deben estar más unidos que nunca. Su agenda común debe ser combatir los ataques. Reducir el tiempo para parchear los dispositivos debe encabezar su lista de prioridades. Cuando los atacantes no tienen tiempo suficiente para explotar las vulnerabilidades, es más probable que abandonen y dejen de aprovecharse de su organización.
Es necesario perfeccionar el equilibrio entre el tiempo de inactividad del dispositivo y la reducción del tiempo de aplicación de parches, manteniendo al mismo tiempo la seguridad del dispositivo a la vanguardia. Como se mencionó anteriormente, no todas las vulnerabilidades son explotables; sólo el 10% de ellos lo son. Esto demuestra que no es aconsejable perseguir cada pequeño parche. Mientras tanto, esto tampoco significa que el 90% restante deba ser ignorado, pero pueden esperar. El análisis de riesgos debe tener un mapeo claro del contexto y el impacto de las amenazas. Es imperativo obtener información sobre parches y vulnerabilidades relacionadas para darse cuenta de cuáles son armas, susceptibles a RaaS y explotables.
La combinación adecuada de información sobre parches y análisis de riesgos de vulnerabilidades es fundamental para la priorización de la gestión de parches en función de las perspectivas de daño de las amenazas.
Hacia el futuro con hiperautomatización
En los próximos 5 a 10 años, la gestión de parches se centralizaría en dos aspectos: las mejores prácticas de ciberseguridad y el desarrollo de códigos seguros. Los códigos deben verificarse para detectar fallas de seguridad en la etapa de desarrollo y no una vez que se encuentran en la aplicación o el software. Esto será esencial para el tiempo de inactividad del dispositivo y el equilibrio del tiempo de parche del que hablamos antes.
Las vulnerabilidades explotables y sin parches son la causa principal de la mayoría de las filtraciones de datos o de la introducción de ransomware en sistemas y dispositivos. La simple automatización de la información o la inteligencia de los parches no sería suficiente en el futuro. ¿Por qué? Hay razones de peso. En primer lugar, los modelos de trabajo remoto e híbrido siguen teniendo éxito incluso en el mundo pospandémico. Para respaldar estos modelos, más organizaciones seguirán adoptando operaciones basadas en la nube. Los equipos de TI ya consideran que la gestión de parches es compleja y, considerando el trabajo remoto/híbrido y el rápido cambio a la nube, esta complejidad no será más fácil en el futuro.
La respuesta a todos los desafíos de procesos y gestión de parches se encuentra en el siguiente nivel de automatización: la hiperautomatización. La mayoría de las soluciones de gestión unificada de terminales (UEM) actuales ofrecen gestión de parches automatizada pero incluso ellos necesitarían hacer un rápido cambio hacia la hiperautomatización en el futuro. Es hora de que los equipos de seguridad y TI sean más proactivos y predigan vulnerabilidades en tiempo real. El análisis de amenazas debe llevarse al siguiente nivel para detectar, comprender y responder a los patrones de riesgo de los parches. Esa es la única opción viable para mantenerse sincronizado con los complejos patrones operativos de los actores de amenazas. Es necesario minimizar al máximo la intervención humana. Por supuesto, en la etapa final habrá un elemento de arbitraje humano. Todo el escenario puede parecer abrumador, pero las organizaciones deben encontrar una manera de lograr la hiperautomatización de la gestión de parches mediante UEM.
Camino a la hiperautomatización
Entonces, ¿cómo puede un CIO/CISO/CSO garantizar que la hiperautomatización se convierta en parte integral de la gestión de parches en una organización? La actual gestión de parches basada en riesgos entró en escena a partir de 2018. Sí, eso es un año después de WannaCry (2017). Si bien hoy en día el análisis de riesgos y la inteligencia de parches se pueden automatizar a través de un solución UEM¿Están las organizaciones esperando otro ataque a gran escala para pasar a la hiperautomatización? ¿Quieren que Conti dé un golpe fuerte? No, ¿verdad? Debemos seguir de cerca todo el espacio UEM para detectar desarrollos e innovaciones en la gestión de parches. Y las innovaciones serían clave para adoptar la hiperautomatización.
El camino innovador hacia la gestión hiperautomatizada de parches comenzará con la incorporación de más controles de seguridad basados en códigos en el software, incluidos códigos de seguridad, desarrolladores y políticas. El mismo control basado en código se aplicará a los parches, la exposición y las vulnerabilidades. En pocas palabras, la hiperautomatización de parches tendrá que ver con la codificación inclusiva e integrada.
Cerrándolo
Las variantes de Code Red y WannaCry continuarán atacando la seguridad empresarial y las bandas RaaS como Conti seguirán encontrando su camino hacia los sistemas. Sin embargo, el futuro necesita y siempre tendrá "Algunos hombres buenos".
La única forma de defenderse de los actores de amenazas es ir un paso por delante de ellos y avanzar con las mareas de innovación. La automatización del escaneo y análisis de vulnerabilidades sentará las bases para la gestión hiperautomatizada de parches. La evolución de UEM también será un factor clave para la hiperautomatización de la gestión de parches. Por complejo que pueda parecer el futuro de la aplicación de parches, los equipos de TI y de ciberseguridad deben unirse para hacer realidad el paso a la hiperautomatización, y administración unificada de terminales tendrá un papel importante en ese futuro.
Scalefusion UEM ofrece gestión de parches del sistema operativo para Windows. Regístrese para una prueba gratuita de 14 días para saber más y programe una demostración.
