La aplicación de parches a software y sistemas vulnerables es más importante -y más difícil de mantener- que nunca. He aquí cómo los MSP pueden hacer que su proceso de gestión de parches sea más eficiente, eliminar las interrupciones y mantener a sus clientes seguros.
Lo que cubrirá este post:
- Por qué la gestión eficiente de parches es cada vez más crítica
- Cómo es un proceso eficaz de gestión de parches parece
- 3 mejores prácticas y directrices clave de gestión de parches para los MSP de cara a 2021
¿Por qué es importante la gestión de parches?
La aplicación de parches no solo mantiene el buen funcionamiento de los sistemas y las aplicaciones, sino que también es una de las actividades fundamentales para mantener la seguridad de las organizaciones actuales. Dejar los equipos sin parchear los hace vulnerables a los ciberataques, y el riesgo es todo menos teórico. De hecho, según el Instituto Ponemon, la mayoría de las violaciones de datos (57%) pueden atribuirse directamente a que los atacantes explotan una vulnerabilidad conocida que no había sido parcheada.
El 57% de las violaciones de datos se atribuyen a una mala gestión de parches.
Fuente: Ponemon
Un rápido repaso a los titulares relacionados con la seguridad ofrece multitud de ejemplos, desde Equifax (culpable: una vulnerabilidad de Apache Struts de hace dos meses sin parchear) hasta SingHealth (datos de 1,5 millones de pacientes expuestos gracias a una versión obsoleta de Outlook).
Todos ellos han dado lugar a incidentes de seguridad muy publicitados y a violaciones de datos que podrían haberse evitado con una gestión de parches más rigurosa y eficiente.
La repentina lucha por conseguir que los empleados trabajen de forma remota durante la crisis de COVID ha agravado el problema, ya que los atacantes buscan habitualmente explotar las vulnerabilidades de las soluciones de red privada virtual (VPN) más populares, entre las que se incluyen:
- Citrix (CVE-2019-19781)
- Palo Alto (CVE-2020-2021)
- Pulse Secure (CVE-2019-11510)
- SonicWall (CVE-2020-5135).
El reto para las pequeñas y medianas empresas
Si algunas de las organizaciones más grandes y mejor financiadas del mundo tienen dificultades con la gestión de parches, ¿qué posibilidades tienen las pequeñas y medianas empresas con un soporte informático limitado?
En 2019 se publicaron más de 12.000 CVEs.
Fuente: CVE details
Algunas de las mayores dificultades con la aplicación de parches se centran en el hecho de que el proceso puede ser lento, complicado y perturbador para los usuarios finales. Como resultado, es fácil posponer la aplicación de parches o simplemente hacer que las actualizaciones importantes se pierdan en el camino. Y con más de 12.000 CVEs publicadas en 2019, no es de extrañar que muchas organizaciones tengan dificultades para mantenerse al día.
El tiempo medio para parchear es de 102 días.
Fuente: Ponemon
Desgraciadamente, el riesgo que suponen los sistemas sin parches es cada vez mayor. Una vez que se ha revelado una vulnerabilidad y se ha publicado un parche, es una carrera para que las organizaciones apliquen el parche antes de que los atacantes comiencen a explotarlo activamente. Esa ventana de tiempo se está reduciendo drásticamente, con numerosos ejemplos en 2018 en los que los atacantes fueron capaces de lanzar ataques abusando de nuevas vulnerabilidades apenas unos días después de su divulgación.
Una vez que se han desarrollado exploits que funcionan, ganan una adopción generalizada rápidamente. Las herramientas de escaneo como Shodan, nmap y masscan hacen entonces que sea trivial para los atacantes identificar sistemas vulnerables y lanzar campañas dirigidas.
Para muchas pequeñas empresas, la solución para estar al tanto de los ciclos de parcheo es externalizar la carga a los MSP. Pero, ¿cómo están abordando el problema los MSP más eficaces?
¿Cómo es un proceso de gestión de parches eficaz?
A continuación se muestra una plantilla de 10 pasos que destaca las consideraciones fundamentales que deben incluirse en cualquier plan de gestión de parches. Antes de sumergirse en este flujo de trabajo, querrá asegurarse de que ha trabajado con su cliente para establecer funciones y responsabilidades claras para cada paso, y que todas las partes interesadas clave están totalmente a bordo.
Paso 1: Descubrimiento
En primer lugar, debe asegurarse de tener un inventario de red completo. En el nivel más básico, esto incluye la comprensión de los tipos de dispositivos, sistemas operativos, versiones del sistema operativo y aplicaciones de terceros. Muchas infracciones se originan porque hay sistemas descuidados u olvidados a los que el departamento de TI ha perdido la pista. Los MSP deberían utilizar herramientas que les permitan escanear los entornos de sus clientes y obtener instantáneas completas de todo lo que hay en la red.
Paso 2: Categorización
Segmentar los sistemas gestionados y/o los usuarios según el riesgo y la prioridad. Algunos ejemplos podrían ser por tipo de máquina (servidor, portátil, etc.), sistema operativo, versión del sistema operativo, rol de usuario, etc. Esto le permitirá crear políticas de parcheo más granulares en lugar de adoptar un enfoque de una sola política para todos.
Paso 3: Creación de políticas de gestión de parches
Cree criterios de parcheo estableciendo qué se parchará y cuándo, bajo qué condiciones. Por ejemplo, puede querer asegurarse de que algunos sistemas/usuarios se parcheen con más frecuencia y de forma automática que otros (el calendario de parcheo para los usuarios finales de portátiles puede ser semanal mientras que el parcheo para los servidores puede ser menos frecuente y más manual). También es posible que quiera tratar los distintos tipos de parches de forma diferente, ya que algunos tienen un proceso de despliegue más rápido o más extenso (piense en las actualizaciones del navegador frente a las del sistema operativo; actualizaciones críticas frente a las no críticas, por ejemplo). Por último, querrá identificar las ventanas de mantenimiento para evitar interrupciones (tenga en cuenta las zonas horarias para «seguir el sol» parcheando, etc.) y crear excepciones.