La aplicación de parches parciales sigue brindando una fuerte protección contra las APT



El análisis ha revelado lo que muchos considerarían una revelación sorprendente: las organizaciones que siempre se actualizan a las versiones más recientes de todo su computer software tienen aproximadamente el mismo riesgo de verse comprometidas en campañas de ciberespionaje que aquellas que aplican solo actualizaciones específicas después de que se revela una vulnerabilidad.

Una mirada cuantitativa a los datos de 350 campañas de amenazas persistentes avanzadas (APT) entre 2008 y 2020 realizadas por investigadores de la Universidad de Trento, Italia, muestra que las organizaciones con una estrategia de actualización de software package puramente reactiva tenían aproximadamente la misma exposición al riesgo de ataques cibernéticos avanzados que aquellas que mantienen al tanto de todo. Esto es a pesar del hecho de que los sujetos implementaron solo el 12% de las actualizaciones que hicieron las organizaciones que siempre se actualizaban de inmediato.

Los datos muestran que lo mismo es cierto para las organizaciones que podrían aplicar actualizaciones para parchear las vulnerabilidades en función de la información que han recibido por adelantado, por ejemplo, pagando por información sobre los días cero. Incluso estas entidades no tienen una ventaja significativa sobre aquellas que parchean solo de forma reactiva cuando se trata de riesgo de incumplimiento, muestra el estudio.

Por qué la aplicación de parches reactivos podría estar bien para las APT
Aunque esto va en contra de la sabiduría convencional, los resultados del estudio reflejan dos realidades: 1) las APT tienden a ser reaccionarias en sí mismas, y 2) las métricas de tiempo para parchear son importantes.

Al analizar unas 350 campañas que se remontan a 2008 (incluida la información sobre las vulnerabilidades explotadas, los vectores de ataque y los productos de software package afectados), los investigadores descubrieron que, en general, las APT se dirigieron a las vulnerabilidades divulgadas públicamente con más frecuencia que a los días cero. También tendían a compartir o apuntar con frecuencia a las mismas vulnerabilidades conocidas en sus campañas.

En total, los investigadores identificaron 86 grupos APT diferentes que explotaron un total de 118 vulnerabilidades únicas en sus campañas entre 2008 y 2020. Solo ocho de estos grupos de amenazas utilizaron vulnerabilidades exclusivas en sus campañas: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8 , DarkHydrus y Rancor.

Eso significa que los equipos de TI tienen la oportunidad de priorizar los errores que se sabe que son los favoritos de APT, para eliminar la mayor parte del riesgo de compromiso.

El riesgo sigue siendo aproximadamente el mismo
Las organizaciones que pueden aplicar actualizaciones de software program tan pronto como se lanzan, naturalmente, aún enfrentan las probabilidades más bajas de verse comprometidas, mostró el estudio. Sin embargo, la necesidad de realizar pruebas de regresión antes de aplicar una actualización significa que las entidades suelen tardar mucho más en actualizar su software. Es aquí donde los investigadores encontraron poca diferencia en la exposición al riesgo entre los que aplican todas las actualizaciones de software package, los que se aplican de forma reactiva y los que se actualizan en función de la información que podrían haber recibido antes que los demás.

Después de todo, la ventaja de recibir información sobre vulnerabilidades por adelantado desaparece por completo cuanto más tarde una organización en actuar sobre la información.

Por ejemplo, las organizaciones que aplicaron todas las actualizaciones de program dentro del mes posterior al lanzamiento de las actualizaciones tenían aproximadamente entre cinco y seis veces más riesgo de verse comprometidas que las organizaciones que actualizaron inmediatamente. Ese número fue más bajo que (pero no significativamente) para aquellos que aplicaron el parche de forma reactiva (aproximadamente entre cinco y media y siete veces más riesgo) y los que actúan sobre información anticipada (aproximadamente entre cinco y siete veces más).

Los investigadores encontraron que las organizaciones que actuaron de forma reactiva implementaron muchas menos actualizaciones que aquellas que aplicaron todas las actualizaciones. «Esperar a actualizar cuando se publica un CVE presenta ocho veces menos actualizaciones», dijeron los investigadores. «Por lo tanto, si una empresa no puede mantenerse al día con las actualizaciones y necesita esperar antes de implementarlas, puede considerar ser simplemente reactiva [as an alternative].»

Un problema crítico
El tema de la priorización de parches se ha vuelto cada vez más crítico para los departamentos de TI y las organizaciones de seguridad con recursos y tiempo limitados. El uso creciente de componentes de código abierto, muchos con vulnerabilidades en ellos, solo ha exacerbado el problema. Un estudio realizado por Skybox Investigation Lab el año pasado mostró un full de 20,175 vulnerabilidades fueron reveladas en 2021. Otro estudio realizado por Kenna Stability mostró que casi 95% de todos los activos de la empresa contienen al menos una vulnerabilidad explotable. La tendencia ha aumentado el interés en la priorización de parches basada en el riesgo y ha empujado a la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. a publicar un catálogo de vulnerabilidades explotadas para que las organizaciones sepan en cuáles enfocarse primero.

Por su parte, el estudio de la Universidad de Trento se centró específicamente en la eficacia y coste de diferentes estrategias de actualización de computer software para cinco productos de application empresarial ampliamente utilizados: Business, Acrobat Reader, Air, JRE y Flash Player para el entorno del sistema operativo Windows.

«En resumen, para los productos ampliamente utilizados que analizamos, si no puede seguir actualizando siempre y de inmediato (por ejemplo, porque debe realizar una prueba de regresión antes de implementar una actualización), entonces ser puramente reactivo en las versiones vulnerables conocidas públicamente tiene el mismo perfil de riesgo. que actualizar con retraso, pero cuesta significativamente menos», dijeron los investigadores.



Enlace a la noticia authentic