Los ataques del Estado-nación fuerzan un nuevo paradigma: parchear …



TI ya no puede darse el lujo de probar minuciosamente los parches de vulnerabilidades críticas antes de implementarlos.

Parchar las vulnerabilidades de seguridad siempre ha sido la actividad de seguridad más importante que realiza un equipo de TI. Durante los más de 25 años que he dedicado a la seguridad, mantener los sistemas actualizados con parches de seguridad ha sido la recomendación número uno en cualquier conjunto de mejores prácticas de TI. Y durante la mayor parte de este tiempo, hemos tenido el lujo de parchear a nuestro propio ritmo.

Hemos acordado que 30 días para aplicar parches es el estándar de buenas prácticas y que el equipo de TI debe acelerar la aplicación de parches de seguridad de gravedad crítica. Pero ahora, después de un período de tres meses en el que se identificaron exploits de día cero para SolarWinds, Accellion, Exchange, Chrome, iOS, Android, Large-IP y más, y con 11 días cero identificados en solo una semana, debemos aceptar la realidad de que las viejas mejores prácticas ya no son lo suficientemente buenas.

Cada vez que comenzamos la siguiente ola de respuestas a incidentes (RI) después de que se identifica cada exploit de día cero en la naturaleza, enviamos mensajes urgentes para ayudar a abordar estas amenazas emergentes críticas. Y lo principal que he dicho una y otra vez es que cualquier parche de seguridad para un día cero o que aborde una vulnerabilidad de gravedad crítica debe tratarse como un incidente de seguridad de Nivel 1.

Debido a que los malos actores saben que la mayoría de las organizaciones no parchean más rápido que 30 días, y una gran cantidad no parchea bien en absoluto, es temporada abierta para que los estados-nación y sus grupos criminales de amenazas persistentes avanzadas (APT) literalmente arrasen amplias franjas de la industria y el gobierno. Nuestro enfoque true para abordar estas amenazas está fallando de manera épica ante nuestros ojos.

Por qué es mejor arriesgarse a una interrupción
Los profesionales de la seguridad han simpatizado durante mucho tiempo con los riesgos que enfrenta la TI en los parches de seguridad de emergencia. Incluso hemos sugerido tácitamente que, dado que es un problema masivo arriesgarse a derribar sistemas críticos y afectar las operaciones al implementar un parche, está bien moverse metódicamente, tomarse el tiempo para probar a fondo y planificar un lanzamiento medido. Las tácticas de los malos actores nos están obligando a cambiar, por fuerte que sea la resistencia. Una vez que un día cero está en la naturaleza, todos los actores de amenazas potenciales en el planeta correrán a toda velocidad para usar ese exploit de día cero lo más ampliamente posible.

Y si esperas para parchear, voluntad ser víctima y probablemente sufrir un evento de IR masivamente disruptivo que probablemente aplaste los sistemas que tanto intentaba mantener en funcionamiento, con los datos de esos sistemas preparados para la venta en los sitios de subastas de la Darkish Internet. Las demandas de rescate están alcanzando decenas de millones de dólares, especialmente si más de un grupo de APT está explotando activamente la misma vulnerabilidad.

Incluso si paga el rescate, gastará de $ 20,000 a $ 500,000 o más en costos de respuesta y reconstrucción, sin mencionar los gastos de interrupciones del servicio, pérdida de ingresos, multas, auditorías, primas de seguros más altas, campañas de relaciones públicas para reparar su reputación, y más.

En casi todos los casos, si la organización victimizada había tratado el parche de vulnerabilidad de día cero como una emergencia, incidente de seguridad de Nivel 1, activado su plan de IR y desarrollado e implementado un método en tiempo true para probar e implementar rápidamente el parche de seguridad, ellos habría evitado los costos de reconstrucción desde cero. También podrían haber evitado la interrupción de las operaciones comerciales, la pérdida de servicios e ingresos, una menor retención de clientes, la reputación de la empresa empañada, un mayor escrutinio regulatorio y posibles multas, and so forth.

Los eventos de seguridad incipientes requieren una respuesta de nivel 1
Es mucho menos costoso, menos perturbador y menos impactante llamar a un incidente de ciberseguridad y activar un prepare de IR que incluye un manual para responder a una evento de seguridad incipiente cuya remediación es la prueba de emergencia y el parcheo de sistemas.

El cambio de paradigma aquí es el concepto de un evento de seguridad incipiente, uno que aún no ha sucedido, pero que ocurrirá, si se le da el tiempo suficiente. Y esa ventana antes de que los malos actores intenten usar el exploit contra sus activos ya ha comenzado a cerrarse.

Las operaciones de seguridad y TI deben adoptar el concepto de un evento de seguridad incipiente que requiere una respuesta a incidentes de Nivel 1. El inconveniente de una interrupción de Trade durante un fin de semana debido a un parche es insignificante en costo e impacto en comparación con un ciberataque en ese mismo servidor de Trade que derriba todos los sistemas de su pink.

Esta es la nueva realidad. Este no es el equipo de seguridad insistiendo en una buena higiene cibernética este es un nuevo paradigma forzado por atacantes que son más sofisticados, organizados y motivados y han encontrado una metodología de ataque que da sus frutos como una máquina tragamonedas amañada.

Las vulnerabilidades de gravedad crucial deben tratarse como incidentes que requieren una respuesta de emergencia. Esto significa cambiar los conceptos fundamentales en la gestión de TI y crear algo nuevo. Pero debido a que no podemos controlar los métodos de los atacantes, y ellos han encontrado agujeros en nuestros procesos de TI, nos enterrarán si no respondemos.

Fred Langston CISSP, CCSK, cofundador de CI Protection, ha estado durante mucho tiempo a la vanguardia de la seguridad de la información. Tiene más de 28 años de experiencia profesional en seguridad de la información trabajando para cientos de clientes para crear estrategias efectivas de seguridad de la información y … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first