Cómo abordar la gestión de aplicación de parches con Zero Trust

Para algunos profesionales de la seguridad, la gestión de la aplicación de parches se puede reducir al popular eslogan de Nike: Just Do It (Simplemente, hazlo). Pero como sabe cualquier persona que haya gestionado alguna vez una red, la gestión de la aplicación de parches no es tan sencilla como dice esta pegadiza frase. Esto no quiere decir que no haya muchos casos en los que se puedan aplicar con facilidad los parches para vulnerabilidades críticas y, de hecho, los hay, pero también hay razones válidas por las que un sistema o software no puede recibir los parches. Es el caso de los sistemas de producción, que no se pueden desconectar en ningún momento (por ejemplo, en un entorno sanitario). También es así en el caso de los sistemas heredados con dependencias que dejarían de funcionar si se aplica un parche. Además, existen casos en los que los parches en sí mismos introducen vulnerabilidades adicionales que requieren que el equipo de TI revierta el nivel de del parche. Teniendo todo esto en cuenta, muchas violaciones de datos de gran importancia pueden atribuirse a la falta de parches. Equifax, WannaCry o el Servicio Nacional de Salud del Reino Unido: en todas estas violaciones, la causa subyacente es que los sistemas no recibieron los parches correspondientes.

Cuando las organizaciones no aplican parches a las vulnerabilidades conocidas, están aceptando ponerse en riesgo, de manera evidente o tácita. Que el riesgo exista no significa que deba mitigarse a toda costa,¹ pero sí significa que las personas responsables deben conocer o valorar y comunicar los riesgos asociados con la acción o la falta de ella. En el caso de los riesgos de ciberseguridad introducidos a causa de las decisiones de gestión de la aplicación de parches, la empresa debe ser consciente de que las vulnerabilidades en el sistema X podrían dar lugar a que una parte no autorizada acceda a Y de manera remota, a la pérdida de datos, la denegación de servicio, la introducción de malware, etc. Sin embargo, para evitar que esto suceda, los equipos de TI y seguridad necesitan mejores maneras de abordar la gestión de los parches. Se notifican y se publican demasiadas vulnerabilidades como para que cualquier organización "simplemente lo haga". Y, con toda certeza, un método ad hoc o caso por caso de manejo de los parches dará lugar a que se omitan parches críticos, que se apliquen incorrectamente, a que se acepten riesgos desconocidos, no anticipados o no intencionales accidentalmente, o algo mucho peor.  

Las organizaciones necesitan un mejor enfoque. Como dice Dave Lewis, director de seguridad de la información asesor de Duo Security, "las empresas necesitan aprender a aplicar parches mejor y de manera más inteligente, y a mejorar la calidad y facilidad de los parches". El "cómo" administrar un programa completo de gestión de aplicación de parches queda fuera del alcance de esta entrada del blog, pero una cosa que definitivamente puede ayudar a los equipos de TI y de seguridad a hacerse con una estrategia de gestión de aplicación de parches es la implementación de una red de Zero Trust.

Los desafíos de las redes actuales

Las redes de las organizaciones ya no son las arquitecturas del pasado, locales, gestionadas internamente y planas. La introducción de la nube y los entornos virtuales, el uso de dispositivos propios y las redes distribuidas, entre otros factores, han cambiado fundamentalmente la manera en que deben operar los equipos de TI y seguridad. Dado que la gestión de la aplicación de parches y otras iniciativas de ciberseguridad pueden afectar a la disponibilidad y confiabilidad de las redes dinámicas y autoescalables de hoy en día, los equipos tecnológicos deben idear mejores maneras de abordar el problema al que se enfrentan.

Desde que trabajo en el ámbito de la seguridad, los profesionales llevan gritando a los cuatro vientos: "¡No lo guardes todo en un solo lugar!". Sin embargo, lograr la segmentación de la red puede ser un proceso difícil, largo y costoso. Por ello, como sucede con la gestión de la aplicación de parches, se ha dejado a un lado la segmentación (y la más reciente microsegmentación) en favor de tareas más sencillas. En realidad, cuando se utilizan procesos y tecnologías históricas o heredadas, la segmentación/microsegmentación puede hacer que hasta el gurú más experto en redes se sienta frustrado. Sin embargo, la segmentación puede ser una manera eficaz de gestionar mejor los sistemas esenciales para la empresa y las actualizaciones necesarias de dichos sistemas.

Zero Trust a escena

Zero Trust invierte los conceptos de las redes tradicionales. En lugar del método "confiar pero verificar" para administrar el acceso a y en la red corporativa, Zero Trust dice que todo el tráfico, los usuarios, las aplicaciones, los hosts, lo que sea, debe verificarse a través de un conjunto de atributos inmutables que crean una "huella digital" antes de que se le permita comunicarse. Además, cuando se verifica una aplicación, proceso, usuario/etc., la confianza otorgada solo se aplica a esa conexión; cada vez que se inicia una comunicación en una red Zero Trust, se debe verificar de nuevo el "qué" que intenta conectarse para garantizar que ninguna amenaza haya interceptado la comunicación y que no se oculte dentro de los controles aprobados, o no haya dejado malware en el sistema.

¿Pero qué tiene que ver esto con la gestión de la aplicación de parches? En una red Zero Trust, todos los sistemas (servidores, aplicaciones, bases de datos, hosts, etc.) se ejecutan en función del principio de acceso con privilegios mínimos. Solo los sistemas, aplicaciones, etc. que requieren acceso a otro sistema, aplicación, etc., se configuran automáticamente para enviar y recibir comunicaciones desde otras conexiones de red. Por el contrario, en una red tradicional, hasta el 98 % de esta consta de vías de comunicación no utilizadas y no administradas. Esto implica que tanto las aplicaciones y servicios legítimos como el tráfico malicioso pueden comunicarse a través de estas vías. Pero Zero Trust bloquea cualquier cosa no utilizada o innecesaria, lo que reduce el alcance de lo que puede comunicarse. Como resultado, también se reduce la probabilidad de una explotación que afecte a un sistema sin parches, porque hay menos recursos comunicándose con él.

Además, las huellas digitales creadas para una red Zero Trust incluyen los nombres de los productos o dispositivos, las versiones y los niveles de los parches, lo que significa que los administradores de sistemas pueden recibir alertas sobre cualquier problema con la gestión de la aplicación de parches y tomar la mejor decisión para la organización. Por ejemplo, los equipos de seguridad podrían implementar una política que diga: "Si la versión 2.3 de Apache no funciona en 2.3.35 o 2.5.17, alertar sobre una conexión". Con esa información, el equipo de seguridad puede tomar la decisión de segmentar la aplicación hasta que se solucione (lo que probablemente solo ocurriría en casos extremos) o aceptar el riesgo de no aplicar el parche y explicar el motivo a la empresa.²

Las herramientas de gestión de la aplicación de parches obviamente pueden ayudar a las organizaciones a mantenerse al tanto de lo que está sucediendo en todo su ecosistema diverso de redes, pero no pueden evitar que el software se comunique si el malware entra en el sistema antes de que se aplique o se desarrolle un parche. Al aislar y contener los activos críticos en una red Zero Trust, las organizaciones pueden identificar una vulnerabilidad sin parches antes de que sea explotada. Además, la gestión de la aplicación de parches solo puede ayudar si existe el parche correspondiente. En el caso de los ataques de día cero y otras situaciones en las que no se puede aplicar un parche, como las mencionadas al principio de este artículo, las organizaciones tienen que "diseñar los sistemas como si siempre hubiera un día cero y el parche no llegara nunca", escribe Adrian Sanabria, fundador de Security Weekly Labs, en un artículo de blog sobre el exploit de Apache Struts. Las redes Zero Trust logran el fortalecimiento del sistema, independientemente de los niveles de parches, y ofrecen a las organizaciones una manera más inteligente de mantenerse al tanto de los parches que podrían evitar que se conviertan en el próximo Equifax. Zero Trust proporciona el control detallado de un entorno de red distribuido que los equipos de seguridad anhelan, a la vez que permite a las empresas avanzar rápidamente sin introducir riesgos innecesarios o no gestionados.  

1. Según Kenna Security y el Cyentia Institute, mientras que el 23% de las vulnerabilidades publicadas llevaban un código de explotación asociado, menos del 2% de estas han sido explotadas arbitrariamente, lo que hace que la reparación tradicional sea muy ineficiente, costosa y prolongada.

2. Es importante señalar que, según el informe de Kenna/Cyentia "Prioritization to Prediction", predecir qué CVE notificadas se convertirán en vulnerabilidades es todo un desafío y seguirá planteando problemas, incluso en un entorno Zero Trust. Además, algunas CVE son explotadas antes de ser publicadas, disminuyendo con ello el efecto de cualquier tipo de corrección.