Hay tres jugadores principales cuando se trata de la gestión de parches: analistas de seguridad, profesionales de TI y atacantes. Y, lamentablemente, suele haber mucha fricción entre los equipos de seguridad y TI, lo que les impide defenderse con éxito de los atacantes. Esto conduce a una amenaza asimétrica en la que un atacante solo necesita conocer una debilidad o vulnerabilidad para tener éxito, mientras que los defensores deben conocer cada debilidad o vulnerabilidad para defenderse.
Los analistas de seguridad evalúan y responden continuamente a las amenazas y ataques de ciberseguridad. A menudo navegan a través de múltiples herramientas de seguridad y recursos de amenazas para evaluar y comprender el riesgo, generalmente bajo presión para abordar un incidente de seguridad. Se mantienen al tanto de la inteligencia de amenazas, las alertas gubernamentales y los eventos de seguridad que podrían afectar negativamente a la organización.
Mientras tanto, los equipos de TI tienen la tarea de la disponibilidad y la capacidad de respuesta del sistema, lo que hace que duden en implementar parches a menos que se pueda comunicar el riesgo prioritario. Deben equilibrar la necesidad de un tiempo de actividad continuo con la necesidad de implementar parches de seguridad que no están planificados y que podrían afectar negativamente el rendimiento y la confiabilidad del sistema si no se prueban o examinan. Estos profesionales también suelen trabajar en silos, administrando el mantenimiento y el riesgo de TI para sus dominios de responsabilidad.
Y luego están los actores de amenazas, que aprovechan estas brechas de seguridad organizacional para lanzar ataques sofisticados a escala. Están aprovechando cada vez más el ciberdelito como servicio para lograr el máximo impacto. Por ejemplo, Conti es una de las pandillas de ransomware más grandes de la actualidad y opera bajo un modelo de ransomware como servicio. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) recientemente observado el aumento del uso del ransomware Conti en más de 400 ataques contra organizaciones estadounidenses e internacionales.
Para ganar la guerra contra el ransomware y defenderse eficazmente contra el ciberdelito, los equipos de seguridad y TI deben trabajar juntos. Deben unirse en un propósito común para luchar contra los atacantes. Deben colaborar para recoger todas las frutas maduras y reducir el tiempo de parcheo, haciéndolo tan difícil para los atacantes que se dan por vencidos y pasan a otros objetivos.
Aquí es donde entró en juego el concepto de gestión de vulnerabilidades basada en riesgos. Es imposible para los equipos de TI y seguridad parchear todo bajo el sol, por lo que deben priorizar. Además, no todas las vulnerabilidades son iguales; De hecho, menos de 10% tienen hazañas conocidas. Los equipos de TI y seguridad no deben tratar de parchear cada pequeña cosa. Más bien, deberían aplicar parches según el impacto y el contexto de amenazas activas.
Hoy, hay 200,000 22,000 vulnerabilidades únicas y 25,000 2,000 de ellas tienen parches. Sin embargo, de las 20,000 XNUMX vulnerabilidades que se utilizan como armas a través de exploits o malware, solo XNUMX tienen parches. Esto significa que los equipos de TI y seguridad pueden ignorar de inmediato los otros XNUMX XNUMX parches.
A partir de ahí, las organizaciones deben identificar las vulnerabilidades armadas que representan el mayor riesgo. Digamos que 6,000 de las vulnerabilidades armadas son capaces de ejecutar código de forma remota y hay 589 parches disponibles. Pero de esas 6,000 vulnerabilidades armadas, solo 130 son tendencia activa, lo que significa que los atacantes dicen que atacarán esas vulnerabilidades. Y para esas 130 vulnerabilidades de tendencias, hay 68 parches disponibles. Los equipos de TI y seguridad deben priorizar la implementación de esos 68 parches.
Los principales líderes de la industria, profesionales y firmas de analistas recomiendan un enfoque basado en el riesgo para identificar y priorizar las debilidades de las vulnerabilidades y luego acelerar la remediación. La casa Blanca recientemente publicó una nota
alentar a las organizaciones a utilizar una estrategia de evaluación basada en riesgos para impulsar la gestión de parches y reforzar la ciberseguridad contra los ataques de ransomware.
En conclusión, las organizaciones deben centrarse en parchear la exposición al riesgo más alto. Para hacer esto, las organizaciones necesitan información sobre cada parche y las vulnerabilidades asociadas que son explotables, armadas y que tienen vínculos con el ransomware. Al aprovechar una combinación de priorización de vulnerabilidades basada en riesgos e inteligencia de parches automatizada, las organizaciones pueden garantizar que los parches se prioricen en función del riesgo de amenazas.
La parte 1 de esta serie está aquí. La Parte 3 de esta serie, programada para el viernes 14 de enero, analizará hacia dónde se dirige la administración de parches.
