Los ciberdelincuentes no esperan a que las empresas corrijan una vulnerabilidad. El ataque generalmente tiene éxito rápidamente y luego se espera. Se recomienda una gestión de parches basada en el riesgo para que el factor tiempo pierda parte de su peso.
Desde el momento en que se publica una vulnerabilidad, se tarda un promedio de solo 22 días en desarrollar un exploit que funcione. Sin embargo, por el lado de la empresa, toma entre 100 y 120 días en promedio hasta que se implementa un parche disponible. Una de las razones de esta discrepancia es sin duda que las empresas han sido impotentes durante mucho tiempo frente a la gran cantidad de nuevas vulnerabilidades.
Vulnerabilidades: un exploit estará disponible en 22 días
La NVD (Base de datos nacional de vulnerabilidades) contó casi 22.000 2021 nuevas vulnerabilidades en 10, un 20 % más que el año anterior y probablemente un 2022 % menos que en XNUMX. La gestión de parches orientada al cumplimiento ya no puede seguir este ritmo. Sin embargo, la gestión de parches basada en riesgos ofrece un enfoque fundamentalmente diferente. La idea básica: en lugar de intentar (en vano) cerrar todos los puntos débiles, primero se consideran las brechas de seguridad que también representan un riesgo real para la empresa individual.
Lo que parece una perogrullada plantea desafíos muy especiales para las organizaciones de TI en lo que respecta a la implementación. Utilizando 5 mejores prácticas, el proveedor de seguridad Ivanti muestra cómo se pueden resolver y traducir en una mayor seguridad:
1: Ver la situación
No puedes proteger lo que no conoces. Por lo tanto, la gestión de parches basada en riesgos siempre comienza con un inventario. ¿Qué recursos hay en la red corporativa? ¿Qué perfiles de usuarios finales utilizan estos activos? Antes de la pandemia de corona, la gestión de activos era mucho menos complicada, bastaba con una mirada minuciosa alrededor de la oficina: en el "lugar de trabajo en todas partes" eso es casi imposible. La gestión de parches basada en riesgos solo funciona en esta nueva situación si todos los activos se pueden descubrir, asignar, proteger y mantener en cualquier ubicación, incluso cuando están fuera de línea.
2: Involucrar a todos en un lado
En muchas organizaciones hoy en día, un equipo es responsable del análisis de vulnerabilidades y las pruebas de penetración, el equipo de seguridad es responsable de establecer prioridades y el equipo de TI es responsable de ejecutar acciones correctivas. Como resultado, a veces existen serias brechas entre el conocimiento obtenido de la seguridad y las medidas correctivas tomadas por TI.
La gestión de parches basada en riesgos crea una conexión entre los departamentos. Asume que las amenazas externas y los entornos de seguridad internos se ven juntos. La base es un análisis de riesgo que ambos departamentos pueden aceptar. Esto abre una vía para que el equipo de seguridad priorice solo las vulnerabilidades más críticas. Los colegas de operaciones de TI, a su vez, pueden concentrarse en los parches importantes en el momento adecuado. De esta forma, la gestión de parches basada en el riesgo les da a todos más espacio para respirar.
3: Respaldar la administración de parches con SLA
Una cosa es que los equipos de seguridad y operaciones de TI deben trabajar juntos para desarrollar una solución de administración de parches basada en riesgos. La otra cosa es empoderarlos y motivarlos. Un acuerdo de nivel de servicio (SLA) para la gestión de parches entre las operaciones de TI y la seguridad de TI pone fin a las idas y venidas al estandarizar los procesos para la gestión de parches. Establece objetivos departamentales y de toda la empresa para la gestión de parches, establece mejores prácticas y procesos, y establece fechas de mantenimiento que todas las partes interesadas pueden aceptar.
4: Organizar la gestión de parches con grupos piloto
Bien hecha, una estrategia de gestión de parches basada en riesgos permite que los equipos de seguridad y operaciones de TI trabajen rápidamente, identifiquen vulnerabilidades críticas en tiempo real y las apliquen parches lo más rápido posible. A pesar de todo el amor por la velocidad, sigue siendo válido lo siguiente: un parche apresurado conlleva el riesgo de que el software crítico para la empresa se bloquee o se produzcan otros problemas.
Por lo tanto, los grupos piloto de una muestra representativa de empresas tan diversa como sea posible deben probar los parches de vulnerabilidad en un entorno real antes de que se implementen por completo. Si el grupo piloto descubre un error, se puede corregir con un impacto mínimo en el negocio. Los grupos piloto deben establecerse y capacitarse con anticipación para que este proceso no impida el progreso del parche.
5: Usa la automatización
El propósito de la administración de parches basada en el riesgo es remediar las vulnerabilidades de manera eficiente y efectiva al tiempo que reduce la carga del personal. Esto es particularmente cierto dada la escasa dotación de personal de TI en muchas empresas. La automatización acelera drásticamente la gestión de parches basada en riesgos mediante el análisis, la contextualización y la priorización de vulnerabilidades las XNUMX horas del día, los XNUMX días de la semana, a la velocidad necesaria. De manera similar, la administración de parches automatizada también puede segmentar el lanzamiento de un parche para probar la efectividad y el impacto posterior, y para complementar el trabajo de los grupos piloto.
Objetivo incorrecto: número de parches instalados
Si bien la gestión de los riesgos cibernéticos solía ser principalmente sobre la cantidad de parches instalados, este enfoque ahora se ha vuelto obsoleto. La capacidad de identificar, priorizar e incluso remediar automáticamente las vulnerabilidades sin requerir una intervención manual excesiva es una ventaja clave en el panorama de ciberseguridad actual.
Una solución inteligente de gestión de amenazas y vulnerabilidades (TVM) también debe proporcionar la capacidad de mostrar resultados que sean comprensibles para los equipos de TI y seguridad hasta la junta corporativa. Una puntuación de ciberseguridad, a su vez, permite medir la eficacia del enfoque basado en el riesgo de una organización. Simplifica la planificación y elimina la necesidad de métricas puramente basadas en actividades para corregir vulnerabilidades.
Más en Sophos.com