El anuncio del FBI sobre el fin de la vida útil de Windows 7 genera preocupación por parte de los expertos en seguridad


A pesar del anuncio del FBI, los hospitales, las escuelas y las oficinas gubernamentales de todo el mundo todavía usan Windows 7.

win7default.jpg

Imagen: TechRepublic

Los expertos en seguridad detallaron una letanía de preocupaciones a continuación un anuncio el lunes de la Oficina Federal de Investigaciones sobre el final oficial de la vida útil de Windows 7. La notificación de la industria privada, primero cubierto por ZDNet, dijo que el FBI "ha observado a los ciberdelincuentes atacando la infraestructura de la red informática después de que un sistema operativo alcanza el estado de final de vida", y agregó que "continuar usando Windows 7 dentro de una empresa puede proporcionar a los ciberdelincuentes acceso a los sistemas informáticos".

VER: Política de gestión de acceso (TechRepublic Premium)

"A medida que pasa el tiempo, Windows 7 se vuelve más vulnerable a la explotación debido a la falta de actualizaciones de seguridad y se descubren nuevas vulnerabilidades. Con menos clientes capaces de mantener un sistema Windows 7 parcheado después de su finalización, los ciberdelincuentes seguirán viendo a Windows 7 como un software objetivo ", decía el aviso del FBI.

Microsoft anunció el fin de la vida útil de Windows 7 el 14 de enero, pero miles de hospitales, escuelas y oficinas gubernamentales todavía usan el sistema operativo por una variedad de razones. El FBI agregó que en el 2017 WannaCry brote, 98% de los ordenadores infectados había estado ejecutando una versión sin parches de Windows 7.

"Windows 7 se introdujo hace casi 11 años, y para poner en contexto cuánto tiempo hace eso en términos de tecnología, el iPad ni siquiera existía en este momento. Las organizaciones han tenido demasiado tiempo para hacer el cambio", dijo Adam Laub. , CMO, Tecnologías Stealthbits. "Sin embargo, es probable que no les impida llorar víctimas cuando sus sistemas Windows 7 se aprovechen como punto de lanzamiento para ataques mucho más devastadores contra sus empresas".

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Docenas de expertos en seguridad expusieron los problemas que las organizaciones pueden enfrentar cuando intentan dejar Windows 7.

El gerente de Red Canary para el manejo de incidentes, Chris Abbey, señaló que Windows 7 tiene una participación de mercado sustancial, que representa aproximadamente el 20 por ciento del mercado de sistemas operativos. Esto, dijo, significa que los ciberdelincuentes continuarán desarrollando exploits para las vulnerabilidades que surjan en él. Con el tiempo, esas vulnerabilidades se acumularán, al igual que los exploits para ellos, y esos exploits pueden estar disponibles públicamente y ser ampliamente adoptados.

Microsoft puede lanzar parches para errores muy graves, como hizo con las vulnerabilidades que permitieron NotPetya ataques en 2017, pero la mayoría de las vulnerabilidades en Windows 7 permanecerán permanentemente sin corregir. El problema será particularmente pronunciado en entornos grandes, donde puede haber problemas de compatibilidad generalizados que impidan un cambio de Windows 7 a 10, agregó.

"Las organizaciones que se verán afectadas de manera desproporcionada incluyen aquellas que dependen de hardware especializado, como hospitales y fabricantes, así como organizaciones con presupuestos ajustados, como escuelas e instituciones gubernamentales. Desafortunadamente, simplemente no es práctico esperar que todas las empresas puedan actualizar los sistemas operativos antes de que pierdan el soporte ", dijo.

"Por lo tanto, es importante que los equipos de seguridad y TI desarrollen controles compensatorios que podrían incluir el uso de tecnologías de virtualización, segmentación de redes y controles de aplicaciones. Como siempre, es de vital importancia mantener un plan de respuesta a incidentes funcional y actualizado. Organizaciones es posible que desee considerar las ramificaciones de cumplimiento de no actualizar, ya que ciertos regímenes de cumplimiento requieren que las organizaciones actualicen los sistemas de manera oportuna o limiten la exposición a las vulnerabilidades del software ".

VER: Política de seguridad física de TI (TechRepublic Premium)

La mayoría de estas organizaciones también enfrentan el problema de tener software heredado costoso que depende en gran medida de sistemas operativos heredados obsoletos.

Satya Gupta, cofundador y director de tecnología de Virsec, dijo que Microsoft ha estado tratando de alejar a las empresas de Windows 7 durante un tiempo, pero el problema al que se enfrentan muchas organizaciones es que la actualización, o incluso el parcheo de rutina, suele ser más difícil y perjudicial que los proveedores como admitir.

Muchas de estas empresas pueden tener aplicaciones heredadas que también se utilizan mucho más allá de sus ciclos de vida previstos, lo que a menudo requiere entornos de SO específicos, incluso si están desactualizados.

"Si intenta obligar a las empresas a retirar las aplicaciones heredadas, siempre habrá rezagados, miles de ellos, que abren puntos de entrada fáciles para los atacantes. Tenemos que cambiar a un modelo de seguridad que reconozca el mundo real, esos sistemas operativos y aplicaciones heredados Permanecerán durante años y deben protegerse tal como están, sin requerir actualizaciones dolorosas para mantener la seguridad básica ", dijo Gupta.

Según el CEO de Cerberus Sentinel, David Jemmett, los piratas informáticos han estado estudiando Windows 7 para explotarlo durante años.

Como ejemplo, lo comparó con los ladrones de automóviles que aprenden a conectar un automóvil de la década de 1960 frente a un Cadillac nuevo con sistemas electrónicos de encendido.

VER: Ciberseguridad: pongámonos tácticos (PDF gratuito) (TechRepublic)

"El automóvil de 1960 está cruzando cables y una posible palanca para la ventana. El sistema electrónico Cadillac que necesitaría un hacker sofisticado con herramientas para lograrlo con experiencia. Windows 7 no tiene actualizaciones ni parches de seguridad en este momento, lo que deja al sistema vulnerable a hacks ", dijo Jemmett a TechRepublic.

"Se ha advertido durante varios años al sector sanitario que se traslade del sistema operativo Windows 7. Con suerte, con la advertencia del FBI, esto dará un incentivo para crear las actualizaciones necesarias para un entorno más seguro".

Otros analistas se hicieron eco de esas mismas preocupaciones, y Chris Clements dijo que las computadoras con Windows 7 son las primeras que su equipo busca explotar durante los compromisos de piratería ética.

Como vicepresidente de Arquitectura de Soluciones en Cerberus Sentinel, ha visto que Windows 7 tiene menos probabilidades de ser parcheado y tiene configuraciones predeterminadas muy inseguras como almacenar la contraseña de cada usuario que ha iniciado sesión desde el último inicio del sistema en texto sin cifrar en la memoria del sistema.

"No importa qué tan fuerte sea la contraseña de un usuario si Windows 7 simplemente la entrega en texto sin cifrar. Se pueden aplicar parches a los sistemas de fin de soporte como Windows 7 y Windows Server 2008, pero es necesario que ambos paguen tarifas adicionales a Microsoft. por la falta de soporte y también para realizar cambios de configuración adicionales en cada sistema para que reciban actualizaciones continuas ", dijo Clements.

VER: VPN: selección de un proveedor y consejos para la solución de problemas (PDF gratuito) (TechRepublic)

"En la mayoría de los casos, es mucho más fácil volver a crear una imagen o reemplazar las computadoras con Windows 7 existentes con Windows 10 en lugar de intentar actualizaciones en el lugar".

A pesar de las advertencias obvias, puede ser difícil para la mayoría de las organizaciones encontrar los fondos para reemplazar cientos de computadoras antiguas. Pero algunos analistas de seguridad dijeron que las organizaciones deberían mirar la situación desde otro ángulo.

¿El costo de reemplazar estos sistemas o dispositivos es igual al costo de una infracción?

Nilesh Dherange, director de tecnología de la empresa de seguridad Gurucul, dijo que algunas organizaciones mantuvieron Windows 7 en funcionamiento debido a aplicaciones heredadas o sin una forma clara de reemplazar un sistema integrado, pero ha llegado al punto en el que deben sopesar el costo de reemplazo con el costo de un incumplimiento.

Mantener Windows 7 en servicio significa lidiar con amenazas cada vez mayores a un sistema no compatible con un largo historial de fallas de seguridad. Para cualquier sistema que se pueda actualizar o reemplazar, el camino claro es actualizarlo o reemplazarlo, señaló Dherange.

"Si realmente no hay alternativa, entonces el sistema debe aislarse y protegerse tanto como sea posible antes de que cruce la línea entre un activo irremplazable y una responsabilidad grave. Los atacantes han tenido herramientas contra Windows 7 durante años y las usarán en cualquier oportunidad "Pero la conclusión es que estos sistemas no compatibles deben retirarse de la producción antes de que se utilicen como vector de ataque", dijo Dherange.

Microsoft ha ofrecido actualizaciones gratuitas de Windows 7, por lo que cualquier organización que pueda aprovechar eso debería hacerlo, según Chloé Messdaghi, vicepresidente de estrategia en Point3 Security.

Pero Messdaghi lamentó el hecho de que tantas autoridades de ciudades, condados y estados todavía estén ejecutando Windows 7, lo que los expone a ataques y a la exfiltración de datos en lugares como escuelas. Messdaghi señaló que el tema es particularmente pertinente en este momento, mientras el país se prepara para elecciones cruciales en las que el público debe confiar. El hecho de no actualizar los sistemas obsoletos no solo puede dar acceso a los ciberatacantes a los sistemas, sino que también permitirá que otros cuestionen la legitimidad de ciertos servicios gubernamentales.

"Actualizar es fácil y es esencial para proteger la confianza que los consumidores tienen en sus marcas y el público en sus líderes del sector público", dijo Messdaghi.

Casey Kraus, presidente de Senserva, agregó que con millones que todavía trabajan desde casa, este consejo no solo se aplica a los dispositivos organizativos, sino también a los que se utilizan en los hogares.

Pero Roger Grimes, evangelista de la defensa impulsada por los datos en KnowBe4, dijo que la situación debería ser un recordatorio más amplio de que cada organización necesita construir fases de final de vida en cada pieza de software o hardware que compran.

VER: ¿Por qué se debe configurar la autenticación multifactor para todos sus servicios y dispositivos? (TechRepublic)

Microsoft, dijo, es muy verbal y público sobre las fechas de finalización de la vida útil con muchos años de anticipación, incluida la documentación del final de la vida útil desde el día del lanzamiento. Las fechas de finalización de la vida útil deben formar parte de cada ciclo de vida de TI y no deberían ser inesperadas, agregó.

"En general, cuando algo se acerca al final de su vida útil, este es el enfoque que la mayoría de las organizaciones deberían adoptar: Reemplazar o actualizar el activo al final de su vida útil si aún lo necesita y si no se puede reemplazar o actualizar antes del final de su vida útil. "vida útil y aún necesita usarlo, implemente una o más mitigaciones para reducir el riesgo. Esto incluye la compra de proveedores o soporte de terceros para continuar cubriendo el activo más allá del final de la vida útil, si está disponible", dijo.

"Aísle físicamente cualquier activo posterior al final de su vida útil que aún deba utilizarse, si es posible. De lo contrario, obtenga cualquier activo posterior al final de su vida útil para que no se pueda contactar a través de Internet si es posible. Si no puede hacerlo esto, el riesgo de compromiso es significativamente mayor. Limite el acceso a la red interna a cualquier activo posterior al final de su vida útil y, si es posible, establezca altos niveles de supervisión de los activos posteriores al final de su vida útil, independientemente de las mitigaciones que elija ".

Ver también





Enlace a la noticia original