La gestión de parches empezó a cobrar importancia a partir de 2009 con la aparición de múltiples gusanos y llegó a su culmen en 2017 con WannaCry, que afectó sistemas por todo el mundo. Actualmente la gestión de parches de seguridad se ha convertido en un proceso de mantenimiento en vez de algo puntual para arreglar vulnerabilidades graves, como ocurría en el pasado.
Para el seguimiento de vulnerabilidades se crearon varias bases de datos públicas, la primera fue la «Vulnerability Naming Scheme» (CVE) en 1999, aunque la más importante actualmente es la National Vulnerability Database (NVD), creada en 2011. En España el INCIBE mantiene una base de datos de vulnerabilidades, aunque aparte de estar en español no aporta ningún valor especial en este aspecto sobre la NVD aunque, eso si, tiene avisos sobre campañas de phishing y smishing enfocadas hacia usaurios de España.
La NVD integra todos los recursos del gobierno estadounidense disponibles públicamente, está sincronizada y se basa en la lista CVE y usa un sistema de puntuación para calificar la gravedad de riesgo. Esta lista se ha convertido en un estándar «de facto» para la gestión de vulnerabilidades y se usa de origen de los datos por parte de todas las organizaciones dedicadas a esto, como el INCIBE en España.
Desde 2011 la gestión de parches se ha convertido en un trabajo que necesita cada vez más recursos en las empresas debido al creciente número de vulnerabilidades detectadas, algo que además no siempre es tan fácil como actualizar un software o un paquete, ya que muchas veces se trata de librerías o software de base que puede afectar a otros sistemas en producción que no pueden pararse sin causar graves trastornos.
El tiempo de respuesta ante la aparición de vulnerabilidades que afectan a nuestros sistemas es de gran importancia, especialmente ante las vulnerabilidades críticas.
Desde que se detecta una nueva vulnerabilidad hasta que se crea y aplica el parche o se aplican medidas para mitigar el riesgo suelen pasar entre dos y ocho semanas en empresas que disponen de un departamento para esta labor, aunque no se hace en muchas empresas por falta de conocimiento o medios, dejando sus sistemas vulnerables, tanto los locales como las webs corporativas, que quedan muchas veces sin ningún mantenimiento.
Existe la creencia errónea de que todas las vulnerabilidades pueden solucionarse con un parche o actualización, pero no es así. Sólo el 10% de las vulnerabilidades conocidas pueden arreglarse con parches. El otro 90% no pueden ser parcheadas, lo que sólo deja dos opciones, corregir el código por nuestra cuenta o aplicar procesos para mitigar o impedir que las vulnerabilidades puedan ser explotadas, algo que requiere de personal áltamentre cualificado. Es por esto que cada vez más empresas carecen de la capacidad, el personal cualificado o el presupuesto necesario para mantener actualizado su software ante vulnerabilidades.
Esta situación ha creado una guerra asimétrica entre las organizaciones que tratan de mantener sus sistemas actualizados y los delincuentes que buscan vulnerarlos, por lo que la gestión de parches es actualmente una labor crítica en el despliegue de seguridad de las organizaciones, especialmente en las que prestan servicios vitales como hospitales o suministros de energía. El creciente número de casos de ransomware ha puesta a muchas organizaciones en situación crítica y cada vez es más difícil encontrar personal cualificado capaz de llevar a cabo esta labor con eficacia, algo que sin duda será uno de los principales retos de la ciberseguridad a corto plazo.
Deja una respuesta