INTRODUCCION

Durante décadas, los ataques de seguridad cibernética han puesto de relieve los peligros
de tener computadoras con programas. Sin embargo, incluso con una conciencia
generalizada de estos peligros, mantener el software actualizado con parches sigue
siendo un problema. Decidir cómo, cuándo y qué parchear puede ser difícil para cualquier
organización.
Cada organización debe equilibrar la seguridad con el impacto de la misión y los objetivos
comerciales utilizando una metodología basada en el riesgo.

DESAFIO
Hay algunas causas fundamentales para muchas violaciones de datos, infecciones de
malware como ransomware, otros incidentes de seguridad, y las vulnerabilidades
conocidas, pero sin parches en el software, son una de ellas.
La implementación de algunas prácticas de higiene de la seguridad, como aplicar parches
a los sistemas operativos, las aplicaciones y el firmware, puede abordar esas causas
fundamentales. Eso evita que ocurran muchos incidentes al minimizar la superficie de
ataque y reduce el impacto potencial de los incidentes que ocurren. En otras palabras, las
prácticas de seguridad e higiene dificultan el éxito de los atacantes y reducen el daño que
pueden causar.
Desafortunadamente, la higiene de la seguridad es más fácil decirlo que hacerlo. A pesar
del reconocimiento generalizado de que (a) los parches son efectivos y (b) los atacantes
explotan regularmente el software sin parches, muchas organizaciones no parchean
adecuadamente.

ESCENARIOS
IDENTIFICACION DE ACTIVOS
Este escenario identifica los activos y los clasifica en función de los niveles de impacto de
vulnerabilidad para priorizar el orden de remediación. Aprovecha las herramientas para
descubrir activos en la empresa y la nube y para enumerar su firmware, sistemas
operativos (SO) y aplicaciones. Saber qué software y versiones de software están en uso
y predeterminar las prioridades de remediación son de vital importancia para todos los
demás procesos de aplicación de parches. Sin información precisa, actualizada y
completa, una organización tendrá dificultades para realizar procesos de aplicación de
parches de manera efectiva y eficiente, lo que aumentará el riesgo.
PARCHES DE RUTINA
Este es el procedimiento estándar para parches que se encuentran en un ciclo de
lanzamiento regular y no han sido elevados a un estado de emergencia activo. La
aplicación de parches de rutina incluye el firmware de punto final, el sistema operativo y
las aplicaciones, el sistema operativo del servidor, las aplicaciones alojadas en las
instalaciones o en la nube(p.e Infraestructura como servicio). La mayoría de los parches
se incluyen en este escenario. Sin embargo, debido a que los parches de rutina no tienen
la urgencia de los parches de emergencia, y la instalación de parches de rutina puede
interrumpir las operaciones (por ejemplo, reinicios de dispositivos), a menudo se pospone
y se descuida. Esto proporciona muchas ventanas de oportunidad adicionales para los
atacantes.

PARCHES DE RUTINA CON MODELO DE ENTREGA EN LA NUBE

Este es el procedimiento estándar para parches que se entregan a través de un modelo
de entrega en la nube, como un dispositivo móvil o un modelo "Windows como servicio
(WaaS)" con sistemas operativos Windows, Actualización de software de dispositivos
móviles para Android e iOS proporcionados por los fabricantes de dispositivos u
operadores móviles.

PARCHEO DE EMERGENCIA
Este es el procedimiento para abordar emergencias de parches activos en una situación
de crisis, como vulnerabilidades de gravedad extrema como MS17-010, así como
vulnerabilidades que se están explotando activamente. Los parches de emergencia deben
manejarse de la manera más eficiente posible para evitar la explotación inminente de
dispositivos vulnerables. Las características clave incluyen la identificación de activos
vulnerables, la clasificación y la aplicación de parches en función de una lista de
prioridades, el seguimiento y la supervisión del estado de esos activos.

SOLUCION ALTERNATIVA DE EMERGENCIA

Este es el procedimiento de emergencia en una situación de crisis para mitigar
temporalmente el riesgo de vulnerabilidades antes de que un proveedor publique un
parche. Por lo general, se requiere cuando la vulnerabilidad se explota activamente. La
solución alternativa puede variar y puede o no ser necesario revertirla después. Las
organizaciones deben estar preparadas para implementar rápidamente una amplia
variedad de soluciones alternativas de emergencia para proteger los dispositivos
vulnerables. Sin procesos, procedimientos y herramientas para implementar soluciones
temporales, se puede perder demasiado tiempo y los dispositivos vulnerables pueden
verse comprometidos antes de implementar las soluciones temporales.
AISLAMIENTO DE ACTIVOS NO PARCHEABLES
Esta es la arquitectura de referencia y la implementación de métodos de aislamiento para
mitigar el riesgo de sistemas que no pueden parchearse fácilmente. Por lo general, esto
se requiere si la aplicación de parches de rutina no puede adaptarse a estos sistemas
dentro de un período de tiempo razonable. La mayoría de los sistemas en este ámbito son
sistemas heredados no admitidos o sistemas con requisitos de tiempo de actividad
operativo muy altos.

SEGURIDAD DEL SISTEMA DE GESTION DE PARCHES

Esta es una arquitectura de referencia e implementación de prácticas de seguridad
recomendadas para sistemas como sistemas de administración de parches que tienen
acceso administrativo privilegiado sobre muchos otros sistemas. Este incluirá prácticas
como privilegios mínimos, estaciones de trabajo con acceso privilegiado y actualizaciones
de software.
A continuación vamos a ver una serie de herramientas que nos permiten fortalecer el
firmware, la implementación de parches y seguridad en los diferentes sistemas operativos.

COMPONENTES
Cisco
Cisco Systems es un proveedor de soluciones de redes empresariales, de
telecomunicaciones e industriales. Cisco Identity Services Engine (ISE) permite un
enfoque dinámico y automatizado para la aplicación de políticas que simplifica la entrega
de un control de acceso a la red altamente seguro y microsegmentado. ISE habilita el
acceso definido por software y automatiza la segmentación de la red dentro de los
entornos de TI y OT. Cisco Firepower Threat Defense (FTD) es un firewall enfocado en
amenazas con administración unificada, aumentando la visibilidad y la postura de
seguridad al mismo tiempo que reduce los riesgos.
Eclypsium
Eclypsium es la empresa de seguridad de firmware empresarial. La solución basada en la
nube identifica, verifica y fortalece el firmware y el hardware en computadoras portátiles,
servidores, equipos de red y dispositivos. Eclypsium Administration and Analytics Service
brinda protección contra ataques de firmware persistentes y sigilosos, proporciona
integridad continua del dispositivo, entrega parches de firmware a escala y previene
ransomware e implantes maliciosos. Eclypsium también proporciona una versión local que
tiene paridad con la plataforma basada en la nube.
Forescout
Evalúa la postura de seguridad del dispositivo en tiempo real al momento de la conexión e
inicia flujos de trabajo de remediación con sus herramientas de seguridad existentes para
hacer cumplir el cumplimiento. Supervisa continuamente todos los dispositivos en busca
de nuevas amenazas y vuelve a evaluar su nivel de higiene cada vez que el dispositivo
sale y regresa a la red corporativa. La solución de Forescout va más allá de la simple
autenticación de dispositivo para identificar cada dispositivo, evaluar su postura de
seguridad, desencadenar flujos de trabajo de remediación e implementar control de
acceso a través de redes heterogéneas a activos sin parchear. Supervisa continuamente
todos los dispositivos conectados y automatiza la respuesta cuando se detectan
incumplimientos o activos sin parchear.

IBM
MaaS360 es una solución de gestión unificada de puntos finales que transforma cómo
organizaciones brindan soporte a usuarios, aplicaciones, contenido y datos en todo tipo
de dispositivo móvil: computadoras portátiles, teléfonos inteligentes, tabletas e IoT. IBM
MaaS360 es la única plataforma que aprovecha el poder del motor de inteligencia artificial
para brindar información de seguridad contextualmente relevante para los
administradores, al tiempo que garantiza el monitoreo continuo de los usuarios finales
más riesgosos.
IBM Code Risk Analyzer se desarrolló junto con los proyectos de investigación de IBM y
los comentarios de los clientes. Permite a los desarrolladores evaluar y remediar
rápidamente los riesgos legales y de seguridad que están potencialmente introduciendo
en su código fuente, y proporciona comentarios directamente en los artefactos de Git (por
ejemplo, solicitudes de extracción).
LOOKOUT
Lookout es un proveedor integrado de soluciones de seguridad de punto final a la nube
con ofertas de protección de punto final móvil. La solución Mobile Endpoint Security
(MES) de Lookout proporciona capacidades de detección centradas en la nube y basadas
en el comportamiento; realiza análisis de comportamiento basados en datos de telemetría
de casi 200 millones de dispositivos y más de 120 millones de aplicaciones. Este análisis
permite que Lookout brinde protección eficiente con una aplicación liviana en el dispositivo
que optimiza la velocidad del procesador y la duración de la batería. Además, el
monitoreo continuo de los cambios en el punto final permite la detección de riesgos que
van desde el enraizamiento de un dispositivo hasta el compromiso avanzado del
dispositivo. Con información sobre los cambios en tiempo real en un dispositivo y la vista
agregada del comportamiento en todo el ecosistema móvil más amplio, la protección de
punto final de Lookout puede detectar amenazas de día cero.

MICROSOFT
Microsoft Endpoint Manager ayuda a brindar un lugar de trabajo y una administración
moderna para mantener sus datos seguros en la nube y en las instalaciones. Endpoint
Manager incluye los servicios y herramientas que utiliza para administrar y monitorear
dispositivos móviles, computadoras de escritorio, máquinas virtuales, dispositivos
integrados y servidores. Endpoint Manager combina varios servicios, incluido
Configuration Manager, una solución de administración local para equipos de escritorio,
servidores y portátiles que se encuentran en su red o en Internet. Endpoint Configuration
Manager se puede integrar con Intune, Azure Active Directory (AD), Microsoft Defender
para Endpoint y otros servicios en la nube.
TENABLE
[Link] es la solución de gestión de vulnerabilidades local de Tenable. Basado en la
tecnología Nessus, la familia de productos [Link] identifica, investiga y prioriza las
vulnerabilidades. Obtiene una evaluación continua en tiempo real de su postura de
seguridad y cumplimiento para que pueda descubrir vulnerabilidades y activos
desconocidos, monitorear cambios inesperados en la red y priorizar las debilidades para
minimizar su riesgo cibernético y prevenir infracciones.
Desarrollado por la tecnología Nessus y administrado en la nube, [Link] proporciona
la cobertura de vulnerabilidad más completa de la industria con la capacidad de predecir
qué problemas de seguridad remediar primero
Usando un algoritmo avanzado de identificación de activos, [Link] proporciona la
información más precisa sobre activos dinámicos y vulnerabilidades en entornos en
constante cambio.

VMWARE
VMware vRealize incluye SaltStack Config, una moderna plataforma de administración de
configuración con el rendimiento, la velocidad y la agilidad que los equipos de TI
necesitan para administrar sistemas de TI grandes y complejos y mejorar la eficiencia a
escala. Para este proyecto, vRealize SaltStack Config proporciona capacidades de
distribución de software y configuración del dispositivo. Específicamente, permite que se
realicen cambios de configuración en los dispositivos actualizando o eliminando software,
así como también actualizando configuraciones como información de red.
SaltStack SecOps, un complemento de los productos vRealize, brinda a los
administradores de sistemas la capacidad de crear políticas de seguridad y escanear
activos para determinar si cumplen con los puntos de referencia de seguridad admitidos y
reconocidos por la industria. También tiene la capacidad de escanear su sistema en
busca de vulnerabilidades y exposiciones comunes (CVE), luego aplicar inmediatamente
las actualizaciones o parches para remediar los avisos.