Algunas vulnerabilidades son perdonables, pero la mala gestión de parches no lo es
Tabla de contenido:
A principios de año, el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) hizo un llamado a la industria del software Para que se organice. Demasiadas "vulnerabilidades fundamentales" se están filtrando al código, lo que hace que el mundo digital sea un lugar más peligroso, argumentó. El plan es obligar a los proveedores de software a mejorar sus procesos y herramientas para erradicar estas supuestas vulnerabilidades "imperdonables" de una vez por todas.
Si bien su alcance es ambicioso, el plan de la agencia tardará un tiempo en dar frutos, si es que llega a hacerlo. Mientras tanto, las organizaciones necesitan mejorar la aplicación de parches. Aquí es donde la norma ISO 27001 puede ayudar, mejorando la transparencia de los activos y garantizando que las actualizaciones de software se prioricen según el riesgo.
El problema con los CVE
Software se comió el mundo Hace muchos años. Y hoy en día hay más de esto que nunca: gestiona infraestructura crítica, nos permite trabajar y comunicarnos fluidamente y ofrece infinitas maneras de entretenernos. Con la llegada de los agentes de IA, el software se integrará aún más en los procesos críticos de los que dependen las empresas, sus empleados y sus clientes para que el mundo funcione.
Pero debido a que está diseñado (en gran parte) por humanos, este software es propenso a errores. Y las vulnerabilidades derivadas de estos errores de codificación son un mecanismo clave para que los actores de amenazas vulneren las redes y logren sus objetivos. El desafío para los defensores de la red es que, durante los últimos ocho años, se ha publicado un número récord de vulnerabilidades (CVE). La cifra para 2024 fue... 40,000 sesionesSon muchas actualizaciones de seguridad para aplicar.
Mientras el volumen y la complejidad del software sigan creciendo, y los investigadores y los actores de amenazas se vean incentivados a encontrar vulnerabilidades, el número de CVE anuales seguirá aumentando. Esto significa que habrá más vulnerabilidades que los actores de amenazas podrán explotar.
Según una estimación, El año pasado se reportaron públicamente la enorme cantidad de 768 CVE explotados indiscriminadamente. Y aunque el 24 % de estos fueron ataques de día cero, la mayoría no lo fueron. De hecho, aunque las herramientas de IA están ayudando a algunos actores de amenazas... explotar vulnerabilidades más rápido que nunca antes, la evidencia también sugiere Los errores heredados siguen siendo un problema importante. Revela que el 40 % de las vulnerabilidades explotadas en 2024 eran de 2020 o antes, y el 10 % de 2016 o antes.
¿Qué quiere hacer el NCSC?
En este contexto, el plan del NCSC tiene sentido. Revisión anual 2024 lamenta el hecho de que los proveedores de software simplemente no están incentivados a producir productos más seguros, argumentando que la prioridad a menudo está en las nuevas características y el tiempo de comercialización.
Los productos y servicios son producidos por empresas comerciales que operan en mercados consolidados que, comprensiblemente, priorizan el crecimiento y las ganancias sobre la seguridad y la resiliencia de sus soluciones. Inevitablemente, son las pequeñas y medianas empresas (pymes), las organizaciones benéficas, los centros educativos y el sector público en general los más afectados, ya que, para la mayoría de las organizaciones, la consideración de los costos es el factor principal.
En pocas palabras, si la mayoría de los clientes priorizan el precio y las características sobre la seguridad, los proveedores se concentrarán en reducir el tiempo de comercialización en detrimento del diseño de productos que mejoren la seguridad y la resiliencia de nuestro mundo digital.
En cambio, el NCSC espera construir Un mundo donde el software sea seguro, privado, resiliente y accesible para todos. Esto requerirá que proveedores y desarrolladores implementen mitigaciones de alto nivel con mayor facilidad mediante marcos de desarrollo mejorados y la adopción de conceptos de programación segura. La primera etapa consiste en ayudar a los investigadores a evaluar si las nuevas vulnerabilidades son perdonables o imperdonables y, de este modo, impulsar el cambio. Sin embargo, no todos están convencidos.
“El plan del NCSC tiene potencial, pero su éxito depende de varios factores, como la adopción y aceptación de la industria, así como su implementación por parte de los proveedores de software”, advierte Javvad Malik, principal promotor de concienciación en seguridad de KnowBe4. “También depende de la concienciación de los consumidores y la demanda de productos más seguros, así como del apoyo regulatorio”.
También es cierto que, incluso si el plan del NCSC funcionara, aún habría muchas vulnerabilidades "perdonables" que mantendrían a los CISO despiertos por las noches. Entonces, ¿qué se puede hacer para mitigar el impacto de los CVE?
Un enfoque basado en estándares
Malik sugiere que el estándar de seguridad de mejores prácticas ISO 27001 es un enfoque útil.
“Las organizaciones que están alineadas con la norma ISO27001 tendrán una documentación más sólida y podrán alinear la gestión de vulnerabilidades con los objetivos generales de seguridad”, explica a ISMS.online.
Dray Agha, gerente senior de operaciones de seguridad de Huntress, sostiene que el estándar proporciona un “marco claro” tanto para la gestión de vulnerabilidades como de parches.
“Ayuda a las empresas a anticiparse a las amenazas mediante la implementación de comprobaciones de seguridad periódicas, la priorización de las vulnerabilidades de alto riesgo y la garantía de actualizaciones oportunas”, explica a ISMS.online. “En lugar de reaccionar a los ataques, las empresas que utilizan la norma ISO 27001 pueden adoptar un enfoque proactivo, reduciendo su exposición incluso antes de que los hackers ataquen, impidiendo que los ciberdelincuentes se abran paso en la red de la organización mediante la aplicación de parches y el fortalecimiento del entorno”.
Sin embargo, Agha sostiene que los parches por sí solos no son suficientes.
Las empresas pueden ir más allá para defenderse de las ciberamenazas implementando segmentación de red y firewalls de aplicaciones web (WAF). Estas medidas actúan como capas adicionales de protección, protegiendo los sistemas de ataques incluso si se retrasa la implementación de parches —continúa—. La adopción de modelos de seguridad de confianza cero, sistemas gestionados de detección y respuesta, y el sandboxing también pueden limitar los daños en caso de que un ataque logre penetrar la red.
Malik, de KnowBe4, está de acuerdo y agrega que la aplicación de parches virtuales, la detección de puntos finales y la respuesta son buenas opciones para aumentar las defensas.
Las organizaciones también pueden realizar pruebas de penetración en software y dispositivos antes de implementarlos en entornos de producción y, posteriormente, periódicamente. La inteligencia de amenazas puede utilizarse para obtener información sobre amenazas y vulnerabilidades emergentes, afirma.
Existen muchos métodos y enfoques diferentes. Siempre hay opciones, por lo que las organizaciones deben buscar la que mejor se adapte a su perfil de riesgo e infraestructura específicos.
