Investigadores de Kollective, una empresa de distribución de contenido definida por software, realizaron una encuesta entre doscientas organizaciones estadounidenses y británicas.
Descubrieron que casi la mitad de las empresas necesitaban un mes completo para cerrar una vulnerabilidad conocida. Explicaremos por qué sucede esto y qué se puede hacer al respecto.
/ PxHere / PDLas empresas instalan parches demasiado tiempo
La encuesta Kollective se realizó entre los jefes de los departamentos de TI. El 45% de los encuestados de grandes corporaciones (que tienen más de 100 mil terminales de red) dijeron que necesitan alrededor de 30 días para instalar el parche. Otro 27% dijo que a veces les lleva varios meses instalar las actualizaciones.
Con un número creciente de amenazas cibernéticas, un enfoque similar parece inaceptable. Según Symantec, el año pasado la cantidad de ataques de ransomware
aumentó en un 36%. Además, se sabe que cada día
aparecen más de 230 mil muestras de malware.
En este sentido, en los últimos dos años, el tiempo para instalar el parche, que la compañía tiene antes de que los atacantes aprovechen la vulnerabilidad,
ha disminuido en un 29%. Sin embargo, una simple actualización de seguridad sigue siendo uno de los métodos de protección más efectivos. En muchos hacks y volcados de datos, los hackers explotan vulnerabilidades para las cuales ya se ha lanzado un parche.
ServiceNow realizó una encuesta entre 3 mil expertos en seguridad de la información de todo el mundo y descubrió que el 56% de las empresas podrían haber evitado la fuga de información en el pasado si hubieran instalado la actualización a tiempo. Un ejemplo sería el
robo masivo de datos personales de Equifax en los Estados Unidos. Luego, más de 140 millones de estadounidenses ingresaron a la red.
Este incidente podría haberse evitado si los especialistas de la agencia de crédito instalaran el parche a tiempo. Los hackers utilizaron la vulnerabilidad en el marco de Apache Struts (
CVE-2017-5638 ) debido a un error en el manejo de excepciones. Se lanzó un parche para esta vulnerabilidad
dos meses antes del ataque a Equifax.
Por qué retrasar las actualizaciones
1. Falta de personal. Los departamentos de seguridad de la información carecen de especialistas calificados. Según
la organización sin fines de lucro ISACA, para 2019 habrá una escasez de personal de seguridad de la información en la industria. La escasez será de aproximadamente 2 millones de personas.
Esto ya afecta directamente la protección de las organizaciones contra los ciberataques. En un
estudio de McAfee de 2016, una cuarta parte de los encuestados dijo que la falta de expertos en seguridad de la información en su empresa provocó fugas de datos.
2. Gestión de instalación de parches ineficaz. Sin embargo, la expansión del personal de especialistas en seguridad de la información en la empresa no siempre conduce a un aumento en la confiabilidad de la infraestructura de TI. ServiceNow señala que no debe esperar una mayor seguridad hasta que se modifiquen los procesos comerciales asociados con la aplicación de parches.
La tasa de cierre de vulnerabilidad se ve afectada por una gran cantidad de procesos manuales. Hay compañías que todavía usan Excel para administrar el parche. Una compañía de Fortune 100 incluso formó un departamento completo de empleados
responsables de administrar hojas de cálculo con datos de vulnerabilidad: escriben allí si hay un parche, quién lo instala, etc.
Según el vicepresidente de investigación en la nube de Trend Micro de Mark Micro, Mark Nunnikhoven es precisamente la falta de automatización en el proceso de actualización de los sistemas de TI en las empresas que se ha convertido en una de las principales razones para la adopción generalizada de WannaCry.
3. La dificultad de priorizar las actualizaciones. Según la publicación CSO, otra
razón para la lenta actualización de los sistemas son demasiados parches. Es difícil para los profesionales de seguridad priorizar y decidir cuáles deben establecerse antes que otros. Incluso en el caso de Spectre y Meltdown, los expertos
expresaron opiniones opuestas: algunos expertos sugirieron esperar, mientras que otros tenían prisa por instalar parches más rápido.
La situación se complica por la lenta reposición de bases de datos con vulnerabilidades. Para agosto de este año, más de 3 mil amenazas de las que se detectaron de enero a junio de 2018
no cayeron en las bases de datos de CVE y NVD. Casi la mitad de ellas recibió la calificación de peligro más alta para CVSSv2.
4. La complejidad de la instalación. Barkly realizó una encuesta sobre la instalación de actualizaciones de Meltdown y Spectre entre los profesionales de seguridad. El 80% de los encuestados
consideró que el proceso de instalación de parches para cerrar vulnerabilidades en los chips Intel es "poco claro".
“Cuando aparecieron Meltdown y Spectre, no había una utilidad de prueba conveniente para identificar estas vulnerabilidades. Con el tiempo, las utilidades comenzaron a aparecer, pero era imposible garantizar su confiabilidad, dice Sergey Belkin, jefe del departamento de desarrollo 1cloud . - Más tarde, Microsoft propuso un método de verificación, pero fue bastante complicado. Sin embargo, hubo soluciones (en particular, para varias distribuciones de Linux ) que permitieron averiguar si Meltdown y Spectre se ven afectados o no por un solo comando en la consola ".
Cómo aumentar la velocidad de las actualizaciones
1. Automatizar la instalación de parches. La automatización del proceso de actualización simplifica la tarea para los administradores y usuarios finales. El sistema mismo descarga parches de Internet y el administrador del sistema debe seguir el proceso de instalación. Esto es especialmente importante para los proveedores de la nube, ya que ejecutan una gran cantidad de "máquinas".
Existen herramientas (como HPE Server Automation) que actualizan centralmente los sistemas operativos en los servidores del centro de datos. Le permiten seleccionar los parches necesarios que ofrece el proveedor del sistema operativo. Incluso con su ayuda, puede configurar el proceso de instalación en sí mismo, por ejemplo, para excluir actualizaciones que no son adecuadas para un entorno en particular.
2. Capacitar a los empleados. Las personas juegan un papel importante para garantizar la seguridad de los datos. Por lo tanto, es necesario sensibilizar a los especialistas en TI y a los empleados comunes de la empresa, invertir dinero y tiempo, al menos en los cursos de higiene cibernética básica.
/ Flickr / kelly / ccEn general, se pueden usar una variedad de métodos para conocer mejor la seguridad de los datos, como la gamificación. PricewaterhouseCoopers Australia
juega el juego Game of Threats entre sus clientes cuando equipos de "piratas informáticos" y "defensores del sistema" compiten en un simulador especial.
3. Invierta más en ciberseguridad. Según Gartner, en 2018, el gasto de las organizaciones en ciberseguridad
aumentará en un 12,4% en comparación con el año pasado. Las empresas
gastarán más en automatización de procesos y nuevas tecnologías de protección de datos para que los expertos en seguridad de la información puedan trabajar de manera más eficiente.
Que sigue
La instalación lenta de actualizaciones de seguridad es un problema del sistema. Y, probablemente, generará "inconvenientes" durante un tiempo bastante largo, especialmente a la luz del descubrimiento de nuevas vulnerabilidades importantes en los procesadores, como
Foreshadow . Sin embargo, si más compañías comienzan a instalar parches rápidamente, esto afectará positivamente a todo el ecosistema y reducirá significativamente la cantidad de fugas de datos personales. Como el que sucedió con Equifax.
Un par de publicaciones más del blog corporativo de 1cloud: