En la Iniciativa Día Cero (ZDI), vemos los parches de una forma en la que pocos lo hacen. Obtenemos el reporte inicial de un investigador, verificamos el problema de manera interna, notificamos al proveedor y finalmente publicamos algunos detalles una vez que un parche es lanzado. Esos parches representan el mejor método para prevenir ataques cibernéticos. Recientemente, un problema para el que Microsoft lanzó un parche en marzo del 2017 fue usado como malware para infectar sistemas alrededor del mundo con ransomware, conocido ahora como Wannacry o Wcry.
¿Cómo es posible que algo que se supone fue arreglado 60 días antes, haya causado tantos estragos alrededor del mundo? ¿Por qué la gente simplemente no implementa los parches?
Algunas veces no es tan fácil como parece, especialmente para las empresas.
Paso 1: Prepararse para el parche
Para establecer una estrategia de parcheo completa, las organizaciones necesitan identificar los activos que poseen. Esta tarea es usualmente más difícil de lo que suena. Las empresas tienen la opción de usar una mezcla de software de código abierto (OSS), o herramientas comerciales para identificar y catalogar todos los sistemas y dispositivos en su red. Incluso si el software que usan es gratuito, la implementación de una solución implica costos. Una vez que una empresa determina qué es lo que debe protegerse, entonces tiene que crear y documentar un proceso para actualizar estos dispositivos. Esto incluye actualizaciones no sólo para estaciones de trabajo y servidores, sino para dispositivos de red como routers y switches. Las decisiones que se deben tomar son de suma importancia.
¿Se usará un sistema automatizado o será necesario que un administrador atienda la máquina físicamente? Dado que los parches de seguridad usualmente necesitan que se reinicie el sistema o algún otro tipo de disrupción del flujo de trabajo, ¿cuál es el mejor momento para instalar los parches de seguridad? Documentar la estrategia del parcheo asegura la uniformidad y la consistencia al parchar los sistemas de la empresa.
Paso 2: Encontrar el parche
Ahora lo que necesita hacer es encontrar los parches. Tener una estrategia robusta pierde sentido si las personas a cargo no están suscritas a los medios adecuados que los mantengan actualizados sobre los últimos lanzamientos de parches de seguridad; estos incluyen newsletters y cuentas de Twitter, entre otros métodos usados por proveedores. Una vez que se encuentre el parche, debe determinar cómo instalarlo. Las pequeñas empresas pueden considerar hacerlo de forma manual. Sin embargo, cualquier empresa con máquinas más robustas debe considerar invertir en herramientas automatizadas, de las cuales hay gran variedad y de diferentes precios.
Paso 3: Probar el parche
Hay un paso que una empresa debe considerar antes de implementar cualquier parche: hacer pruebas. El reemplazo y la restauración de sistemas afectados por un parche defectuoso es tanto disruptivo como costoso. Para prevenir esto, existen varias formas de realizar pruebas. Si se cuenta con los recursos, el número mínimo de pruebas deben incluir la instalación del parche en un sistema similar en un ambiente que no se use para la producción, esto para asegurarse de que las funciones de negocio continúen una vez que la instalación esté completa.
Paso 4: ¡Realice el parcheo!
Una vez que haya identificado sus activos, documentado sus procesos, encontrado los parches relevantes, determinado la manera más conveniente de parchear y realizado las pruebas necesarias, ¡felicidades! ¡Ahora puede instalar el parche!
Más allá de la complejidad de parchar sistemas en una empresa, también existe una barrera psicológica que muchas personas deben superar. Poniéndolo de manera sencilla, las razones por las que la gente puede temer instalar parches de seguridad varían:
- Parches de seguridad que se supone deben resolver un problema causan un efecto negativo en otro sistema, o dejan el sistema completamente inutilizable.
- Parches que no resuelven el problema de raíz.
- Algunos proveedores esconden software adicional o funciones que los usuarios no quieren.
- Tal vez, en el peor de los casos, sucede que un parche de seguridad tiene el efecto contrario, y vulnera aún más a la empresa.
Aun cuando la industria ha mejorado sus prácticas a lo largo de los años, estos miedos históricos permanecen.
La vulnerabilidad explotada por Wcry está listada como una herramienta presuntamente usada por la NSA de Estados Unidos junto con otra llamada EwokFrenzy. Conocimos a EwokFrenzy en el programa ZDI como ZDI-07-011 hace 10 años. ¿Eso significa que el exploit aún es efectivo 10 años después del lanzamiento del parche? Eso parece.
No es fácil. No es sencillo. A menudo no es barato. Pero el costo potencial (tanto financiero como a la reputación de la organización) de dejar vulnerabilidades desatendidas es aún más caro que el costo de parchar correctamente. La recuperación después de un ataque es difícil, compleja y cara.
Es hora de admitir que los parches valen la pena.
Leave a Reply