Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Las actualizaciones de seguridad son difíciles, pero menos riesgosas que no poner parches

A pesar de los problemas, las actualizaciones de seguridad están mejor que nunca y conllevan un menor riesgo que esperar para parchar vulnerabilidades.

Cuando Lenovo recientemente descubrió que su programa de Actualización del Sistema –usado para parchar automáticamente muchas de sus computadoras portátiles– tenía fallos de seguridad críticos, parchó su proceso de aplicación de parches. Pero los tres defectos que Lenovo arregló fueron significativos, y resurgieron los temores sobre si las actualizaciones automáticas del sistema ofrecen suficiente seguridad. Esto viene a medida que más y más sistemas, incluyendo el próximo Windows 10, están cambiando a las actualizaciones de manos libres.

Josh Corman, fundador de I Am The Cavalry, dijo que TI solo va a tener que tragarse sus preocupaciones. La historia de actualizaciones rotas o maliciosas, incluyendo una actualización falsa de Firefox en 2012, no puede dejar a los administradores con las armas tímidas cuando se trata de actualizaciones.

"Si usted va a ejecutar software, va a fallar y usted necesita tener una manera de responder a esa falla", dijo Corman. "Hubo un tiempo en que la gente no se aplicaba parches cuando salían, porque podían romper su sistema. Por lo tanto, podían ser hackeados, pero también podían bloquear su servidor en producción”.

Corman dijo que ese tipo de pensamiento tiene que terminar, porque aunque los servicios de actualización automática sí introducen alguna superficie de ataque a distancia, los beneficios superan con creces los riesgos.

“Hemos aprendido de muchos de esos errores que la gente ha cometido en el pasado y hemos crecido como una industria para encontrar la manera de hacer actualizaciones remotas de una manera estable y de manera segura", dijo Corman. "Esto no significa que todo el mundo lo hará de esa manera, pero prefiero fomentar una mejor implementación que evitar cualquier implementación”.

Entregar actualizaciones seguras

La implementación parece ser la clave, porque Corman y otros expertos coincidieron en que hay riesgos asociados a los sistemas de actualización automática, incluyendo el potencial de ataques man-in-the-middle o actualizaciones que sean secuestradas por malware, pero muchos de esos riesgos se remontan a la implementación indebida de un proceso de actualización, no a las actualizaciones en sí mismas.

"No hay ningún problema con la criptografía, el mecanismo básico. No creo que haya nadie que haya roto eso. El problema está típicamente en la aplicación de estas cosas", dijo Wolfgang Kandek, CTO de Qualys. "Creo que los criptógrafos están hablando de que la computación cuántica potencialmente será capaz de romper la criptografía y asumir el control del proceso, pero por lo que sabemos, nadie tiene esa tecnología en este punto en el tiempo”.

Corman fue más allá de la criptografía y desarmó la arquitectura adecuada para la entrega de actualizaciones al decir que tiene que ser estable, para que la actualización no cause fallas del dispositivo; segura, que significa no pasar actualizaciones con apuro o sin firmas digitales; e higiénica, lo que significa que el software ha sido comprobado por autenticidad y calidad antes de ser firmado o entregado.

"Si usted puede proporcionar actualizaciones auténticas a través de un canal seguro, de una manera estable y repetible, entonces ese es el camino a seguir porque va a tener que actualizar", dijo Corman, "y la inhabilidad de hacerlo no es una opción. Puede ser difícil hacer estas cosas, pero no obstante es necesario".

Kandek acordó en que crear un proceso seguro para la entrega de actualizaciones puede ser difícil y sugirió que una forma en que los proveedores de software pueden hacer las cosas más fáciles es confiar en mecanismos centralizados de actualización tanto como sea posible, como las tiendas de aplicaciones de Windows o Mac, o incluso el sistema Chrome Updater que Google ha hecho de código abierto.

"Esto es difícil de hacer bien", dijo Kandek. "Si usted desea cubrir todas las bases, es un problema bastante complicado y realmente no vale la pena invertir en ello como empresa. Solo tiene que utilizar algo que ya está ahí fuera”.

Corman acordó que la necesidad de un mecanismo de actualización centralizada estable es crítico, pero también advirtió que debido a que hay tantas plataformas tecnológicas diferentes, especialmente con sistemas de control industrial, es poco probable alguna vez haya un único proceso de actualización para todos.

Mitigar el riesgo de compatibilidad

Otra forma en que las pequeñas empresas podrían reducir los problemas de dependencia y el potencial de que una actualización rompa productos, dijo Kandek, es moviéndose a la nube. Kandek explicó que más servicios en la nube significa que los puntos finales se vuelven más genérico y más fácil de actualizar sin consecuencias.

Esto no será una opción para todos, así que Ben Jun, director de tecnología de Chosen Plaintext, dijo que el objetivo de los desarrolladores de software y los proveedores debería ser aumentar la transparencia cuando se envían las actualizaciones.

"Un administrador quiere saber, en un idioma que puedan entender, qué hará un parche. Por desgracia, donde estamos hoy es en el punto en que los desarrolladores no pueden ni siquiera decirle lo que hace el parche, que es por lo que tenemos algunos de los problemas que estamos viendo", dijo Jun. "Ellos piensan que está resolviendo un problema, pero han añadido efectos secundarios no intencionales. Si nos fijamos en el código que activa la falla, es una muy pequeña cantidad de código, y es tan fácil introducir un error de 10 bytes en una pieza de código como lo es quitar uno".

Jun ​​dijo que este es un problema difícil de evitar, sobre todo porque las actualizaciones de seguridad son a menudo agrupadas con otras actualizaciones que pueden romper código de forma igualmente fácil, pero la respuesta podría venir del hardware.

"En última instancia, creo que vamos a llegar a un sitio donde el hardware, la propia plataforma, puede establecer límites a lo que el código puede hacer", dijo Jun, "y habrá una manera bastante transparente que un aplicador de actualizaciones pueda utilizar para supervisar lo que están haciendo al propio sistema".

Jun ​​señaló que la compatibilidad es una de las principales razones por las cuales los administradores pueden retrasar la instalación de un parche y es también una gran razón por la que Microsoft comenzó la tradición del Martes de Parches.

“El Martes de Parches no vino porque Microsoft quería hacerlo en un martes. El Martes de Parches vino porque su base de usuarios esencialmente pidió no recibir actualizaciones en intervalos aleatorios que podrían hacer de repente que sus redes se apagaran", dijo Jun. “Para que Microsoft  quite el concepto de Martes de Parches, significa que tienen mucha más confianza en la estabilidad del proceso de despliegue y los sistemas no van a hundirse en medio de la noche cuando envíen las actualizaciones”.

Corman dijo que espera que el proceso de despliegue de actualizaciones de Microsoft para Windows 10 sea más estable, ya que algunas empresas no entienden completamente el valor de negocio de proporcionar un proceso de actualización estable y seguro. Él describió una empresa de alquiler de coches que sabía el costo y el impacto para la marca de hacer un retiro, pero no el otro lado, en el cual los desarrolladores de aplicaciones móviles pueden enviar actualizaciones todos los días sin un impacto negativo.

"La carga de la gente de seguridad no es asustar a la gente; nuestro reto es hacer de la cosa más segura, la cosa más fácil", dijo Corman. "Dado que la complejidad es el enemigo de la seguridad, también es el enemigo de la estabilidad, la sostenibilidad y en última instancia afecta a sus productos y a la satisfacción del cliente. Creo que algo como una actualización tiene un valor de seguridad, pero también tiene valor margen de beneficio y valor en el mantenimiento y la capacidad de servicio”.

Próximos pasos

Quizás le interese conocer:

En seguridad de TI, hay que mantenerse vigilantes

Cuatro obstáculos para lograr sus propósitos de seguridad

No más seguridad, sino mejor seguridad

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close