Tabla de contenido:
Priorizar, clasificar y escanear- El sueño imposible: parchear todas las vulnerabilidades
- Tome el enfoque automatizado
Video: Llegaron los #DíasDePreciosEspeciales a tu Éxito (Noviembre 2024)
La gestión de parches es el filtro de horno del mundo de TI. Sabes que necesitas actualizarlo y sabes que deberías hacerlo de forma regular. Pero sigues posponiéndolo hasta que de repente llegas varios meses tarde y estás acosado por hackers y malware. Todo el proceso empeora porque, no solo tiene poco tiempo precioso para administrar sus diversas tareas de parches, sino que, para estar completamente al tanto, debe probar estos parches con el software y los sistemas operativos (SO) que tiene instalado tan bien como el uno al otro. Y se supone que debe hacer todo eso entre un río interminable de demandas de los usuarios, prioridades de administración y el trabajo diario de mantener su red y servidores en funcionamiento. Pero aquellos que escatiman en parches a menudo terminan en el negocio por una violación masiva de datos que es noticia nacional y generalmente lleva a que se les dé un boleto rosa. Entonces, ¿cómo vas a arreglar todas esas cosas?
Y no piense que puede escapar simplemente con estar totalmente basado en la nube. En primer lugar, casi nadie está basado en la nube al 100% en estos días, por lo que seguramente tendrá alguna infraestructura de centro de datos en el sitio. Además, nunca escapará de la creciente lista de dispositivos cliente que necesitan parches de SO y firmware, así como activos locales "inteligentes" como cámaras, dispositivos NAS (almacenamiento conectado a la red), impresoras y más. Todo eso aún debe mantenerse actualizado, por lo que el demonio del parche vendrá a buscarte sin importar qué.
Si eres como muchos gerentes, entonces haces que tu personal trabaje en lo que parecen ser las actualizaciones más importantes. Los descargas, quizás los pruebas, los pones en producción y luego esperas lo mejor. La forma en que elige la importancia generalmente depende de una variedad de factores o incluso de preferencias personales, pero con frecuencia se basa simplemente en qué hazañas suenan más amenazantes. Esa puede ser la vida real, pero esa no es la mejor manera de hacerlo.
Tareas más apremiantes para profesionales de ciberseguridad en 2018
Priorizar, clasificar y escanear
Primero, priorizas, dice Ed Bellis, cofundador y Director de Tecnología (CTO) de Kenna Security. "Hay ciertos pequeños subconjuntos que absolutamente debes priorizar", dijo Bellis. Usted determina cuál es ese subconjunto de parches al observar las funciones que son más críticas para su negocio, y luego a los parches que harán la mayor diferencia en esas funciones.
"Por ejemplo, el correo electrónico puede ser crítico y puede estar compuesto por dispositivos críticos", explicó Sean Blenkhorn, CTO de campo y vicepresidente de ingeniería de ventas mundiales de eSentire. Dijo que es necesario decidir cuán importantes son los diversos sistemas para su negocio y centrarse primero en ellos. Divídalos en sus elementos "parcheables" y construya su estrategia desde allí. En este caso, puede ser el firmware del servidor, el firmware de almacenamiento, el sistema operativo del servidor y el software del servidor de correo electrónico, así como su software antimalware / antispam asociado del servidor, si lo hay. El software de protección de punto final orientado al cliente generalmente no es una gran parte de las estrategias de parcheo manual, ya que ese tipo de software se actualiza a menos que TI especifique lo contrario.
Blenkhorn dijo que un error que cometen muchas organizaciones es ejecutar primero un escáner de vulnerabilidad, pero dijo que, sin clasificar primero qué sistemas son los más importantes, puede terminar con páginas de resultados de vulnerabilidad y no saber cuándo o si aplicar soluciones.
"Primero, haga la clasificación y luego escanee", dijo Blenkhorn. Dijo que los tres escáneres de vulnerabilidad que ve que se usan con mayor frecuencia son de Qualys o Tenable, pero señala que hay varios otros.
Dijo que la razón por la que clasifica sus sistemas antes de escanear es para que pueda tomar una decisión inteligente sobre cuál debería ser su prioridad. Por ejemplo, si encuentra una vulnerabilidad grave en un sistema que rara vez se usa o que no hace nada realmente importante, entonces tal vez sea mejor simplemente eliminar ese sistema, o al menos apagarlo hasta que tenga tiempo parcharlo
El sueño imposible: parchear todas las vulnerabilidades
Al realizar la clasificación primero, también puede saber cuándo se debe parchear una vulnerabilidad de inmediato, tal vez porque es fundamental para su organización y también frente a Internet. Quizás también pueda retrasar la aplicación de parches en un sistema que tiene vulnerabilidades que no tienen vulnerabilidades, que no tiene conexión a Internet, o ambas. Dijo que es importante no solo determinar si hay una vulnerabilidad, sino también si existe un exploit y si se está utilizando el exploit.
En muchos casos, dijo Blenkhorn, no hay hazañas en el mundo real, lo que significa que podría tener más sentido concentrarse en otras acciones. Una forma de controlar las vulnerabilidades es mirar los informes de evaluación de ciberseguridad profesionales de proveedores como Kenna Security. Estos informes analizan varias bases de datos de amenazas e informan sobre sus hallazgos, midiendo vulnerabilidades en una variedad de factores dependiendo de cómo el proveedor del informe abordó el tema.
"Nuestro primer informe que salió la primavera pasada", dijo Bellis, "analizamos cada vulnerabilidad en la base de datos". Dijo que su segundo informe acaba de salir en enero de 2019. Según Bellis, su análisis se centra en el hecho de que muy pocas vulnerabilidades realmente tienen vulnerabilidades conocidas, lo que significa que tiene más sentido centrarse en aquellas vulnerabilidades que es poco probable que alguna vez ocurran. ser atacado El informe ayuda a los profesionales de TI a tomar esta determinación para la infraestructura que han instalado.
"Rompimos esas vulnerabilidades por fuente de tecnología", explicó Bellis. Dijo que las vulnerabilidades más importantes pueden provenir de Oracle por su huella masiva en la base de datos, Adobe por su cliente Reader extendido y siempre parcheado, Microsoft por Microsoft Windows 10 y proveedores de software igualmente grandes. Pero señaló que puede haber grandes diferencias en cómo se manejan esas vulnerabilidades.
"Hay una gran diferencia en la tasa de remediación", dijo Bellis. "Se hizo bastante claro que Microsoft ha hecho que sea muy fácil y operativo para los clientes parchear sus vulnerabilidades. Oracle y Java están en el otro extremo de esa escala".
Tome el enfoque automatizado
Otro enfoque es comprar un software especial que le quitará gran parte del peso de análisis y programación de la gestión de parches. Este es el enfoque automatizado.
"Los administradores de TI no pueden mantener manualmente una cuenta de todos los parches faltantes en su red", dijo Giridhara Raam M, Product Evangelist para ManageEngine (una división de Zoho Corporation), en un intercambio de correo electrónico. "Por lo tanto, necesitarían un sistema automatizado para escanear la red, identificar los parches faltantes, descargar esos parches del sitio del proveedor, probar parches e implementarlos en las máquinas específicas a tiempo", continuó. "Los administradores de TI deberían poder programar estas implementaciones fuera del horario comercial para evitar molestias a los empleados".
ManageEngine tiene herramientas que pueden ayudar, al igual que otros proveedores, incluidos LogicMonitor y Microsoft. Sin embargo, aún es necesario clasificar los activos de su red para que sepa en qué vulnerabilidades debe centrarse.
Es la clasificación la clave. No necesita concentrarse en todas las vulnerabilidades a la vez; solo necesita comenzar con los que tienen más probabilidades de causar problemas de inmediato y luego comenzar desde allí.
