La implementación de soluciones de seguridad sigue siendo un desafío en una empresa, a pesar de las mejoras realizadas tanto para la evaluación de las vulnerabilidades como para las tecnologías de actualización. Las prioridades divergentes, los desafíos organizacionales y la deuda técnica continúan transformando el objetivo aparentemente simple de mantener los sistemas en un dolor de cabeza real, según los expertos entrevistados.

Debido a estas dificultades, alrededor del 60 % de las aplicaciones comerciales no se corrigen seis meses después de la publicación de una vulnerabilidad, según el editor de las soluciones de seguridad de Cloud Quals. Solo el 40% de las empresas corrigen vulnerabilidades críticas en los primeros 30 días después de su divulgación.

La proliferación de aplicaciones no sirve a la informática empresarial. Un estudio reciente de Adaptiva, especializado en la gestión de las correcciones, reveló que un promedio de una empresa administra 2.900 aplicaciones. Esto hace que una gran solución potencial, especialmente porque el número de vulnerabilidades detectadas está aumentando constantemente.

Tantos factores que ayudan a aumentar la probabilidad de una interrupción en la actividad comercial. "Cuanto más una empresa debe implementar la corrección, mayor será el riesgo de tiempo de parada debido a los reinicios o la interrupción de una aplicación mediante una solución", resume Eran Livne, directora principal de gestión de productos en Qualys.

Automatización y deficiencias

En los últimos años, la gerencia de la gerencia se ha convertido en una práctica de reducción de riesgos, empresas que alinean los flujos de trabajo de seguridad y remediación y dan prioridad a las vulnerabilidades a corregirse de acuerdo con los cálculos de exposición, la probabilidad de una parada debido a la actualización y los costos potenciales de dicha parada.

Según Sanjay Macwan, DSI y RSSI de la plataforma de comunicación Vonage, "las empresas deben asegurarse de que tengan un inventario actualizado de sus recursos para seguir todos los componentes que requieren correcciones, así como las políticas formales y rigurosas que cada equipo debe seguir para coordinar una aplicación efectiva y de debido tiempo. incluido el monitoreo posterior al parche para detectar errores críticos después de la implementación de correcciones.

Eran Livne recomienda el uso de herramientas de automatización "para ayudar a reducir el trabajo manual necesario para la gestión de una gran cantidad de vulnerabilidades, en particular aquellos que son más fáciles de corregir y tocar navegadores, jugadores multimedia y reproductores de documentos". Gracias a la automatización de parches de menor prioridad, los equipos responsables de las operaciones de TI y la seguridad pueden centrarse en soluciones de seguridad críticas y urgentes.

A pesar de sus promesas, las herramientas automatizadas tienen sus límites, sin embargo, advierte a Rich Newton, consultor de Pentest People: "Las prioridades de corrección recomendadas por las herramientas de acuerdo con la gravedad de las vulnerabilidades no siempre corresponden a la tolerancia a los riesgos específicos de la organización o sus objetivos comerciales, que subrayan la necesidad de la necesidad de humanos. Por lo tanto, la necesidad de configurar procedimientos continuos de monitoreo y monitoreo en el estado de la flota de la computadora.

Elie Feghaly, RSSI de la compañía de tecnología de difusión Vizrt, reconoce que, aunque las herramientas para evaluar las vulnerabilidades y la corrección automatizada son muy útiles, no son la panacea. "Los roles de remediación automatizados en entornos de TI complicados rara vez están de acuerdo con entornos muy dinámicos y potencialmente están sujetos a errores", explica.

El factor heredado, y su herencia voluminosa

Además, la gran mayoría de los entornos de TI complejos operan una gran cantidad de software heredado que ya no es corregido por su proveedor, subraya Martin Biggs, vicepresidente y director gerente de la región de EMEA en Spinnaker. "Y cuando hay soluciones disponibles, pueden ser una fuente de perturbaciones y requerir pruebas de regresión en profundidad antes de ser desplegadas", dijo.

Para entornos sensibles, puede ser prácticamente imposible aplicar una solución, incluso cuando esté disponible. En otros casos, la aplicación del correctivo no resuelve la vulnerabilidad subyacente, que solo se trata en actualizaciones posteriores, advierte Martin Biggs. "Es bastante habitual en el mundo de Oracle que la misma vulnerabilidad se corrige nuevamente por las correcciones publicadas varios trimestres después de la corrección original", ilustra. Con tales incertidumbres y efectos, ver muchas empresas tientas en su estrategia de gestión de métodos no es sorprendente.

Pruebas en el centro de atención

Elie Feghaly (VIZRT) subraya otro problema actual con el que las empresas enfrentan la gestión de las correcciones: “Un correctivo funciona perfectamente en el laboratorio de prueba o prueba, pero causa un daño considerable a la producción debido a la dependencia inesperada de otra aplicación. Incluso si los factores externos y las dependencias son precisamente las principales razones por las razones que argumentan por el fortalecimiento de las pruebas. El desglose muy publicitado de julio causa el contenido de la falla de la falla de julio, lo que ha causado por el contenido de la actualización de la falla de la falla de julio. Sistemas caídos en todo el mundo, ha hecho posible poner la importancia de las pruebas en plena luz antes de la implementación de soluciones.

"Las herramientas para evaluar las vulnerabilidades y la aplicación automatizada de las correcciones pueden aliviar considerablemente las dificultades vinculadas a la gestión de las correcciones al garantizar el monitoreo continuo, identificando vulnerabilidades en tiempo real y automatizando la implementación de soluciones sin intervención manual", subraya Chris Morgan, analista principal en términos de inteligencia en cibermenaces en Liacaquet. "Sin embargo, su efectividad depende de una configuración adecuada, actualizaciones regulares e integración en prácticas de seguridad más amplias. Las soluciones deben probarse en profundidad e implementarse inicialmente en un subconjunto reducido de sistemas, para minimizar el riesgo de fallas debido a las soluciones defectuosas.»

Thomas Richards, director asociado de Synopsys Software Integrity Group, explica que los entornos de prueba automatizados pueden ayudar a reducir el riesgo de perturbación. Pero no si solo tiene una visibilidad limitada en lo que debe corregirse aguas arriba. "El desafío al que nuestros clientes a menudo se enfrentan con la configuración adecuada de las herramientas para escanear y parcher todos los sistemas activos de su organización", dijo. Las razones por las cuales los sistemas no están cubiertos por este proceso son múltiples: dispositivos antiguos, configuraciones malas, TI de la sombra, sistemas que deben estar fuera del servicio, pero que han permanecido en línea, etc. La parte más importante de un programa de corrección de vulnerabilidad es garantizar que cubra todos los sistemas bien cubiertos por este programa y que estén bien sujetas a actualizaciones regulares. »»

Llenar el vacío cultural

Dave Harvey, director del equipo de respuesta cibernética de KPMG en Gran Bretaña, dice que, además de la priorización y remediación adecuadas, una estrategia de gestión exitosa depende de "la integración de la información efectiva sobre la amenaza, el examen regular y la colaboración efectiva entre los equipos de TI y la seguridad". En este último punto, Madeline Lawrence, directora de marca de la compañía belga de ciberseguridad, Aikido Security, explica que los ingeniosos equipos a menudo se sienten "desactualizados y molestos" cuando se ocupan de las vulnerabilidades de seguridad.

Debido a que es necesario tener en cuenta la discrepancia total de la mentalidad entre los equipos de seguridad, "que han aprendido a considerar todas las posibilidades", y a los desarrolladores, a quienes les gustan los "atajos y eficiencia", agrega. "Para muchos desarrolladores, los equipos de seguridad que surgen con las solicitudes son similares a los deportes de deterioro. Esta diferencia fundamental en el enfoque y las prioridades plantea problemas considerables a las organizaciones que intentan que los equipos sean responsables de las operaciones de TI y seguridad para colaborar más de cerca para resolver fallas de seguridad.

Según Madeline Lawrence, "llenar esta zanja no solo pasa por nuevas herramientas o procesos, sino que también debemos abordar la brecha cultural y de comunicación que separa a estos equipos clave para este tema, sino que a menudo mal alineado". En el corazón de esta zanja está el hecho de que los equipos de operaciones de TI tienen prioridad a la disponibilidad y el rendimiento de los sistemas, mientras que los equipos de seguridad se centran en la mitigación de las amenazas. Esta tensión a menudo conduce a conflictos y retrasos en la resolución de problemas de seguridad.

Objetivos comunes para desarrolladores, operaciones y seguridad

"Este desafío se acentúa aún más por la complejidad de los entornos modernos de TI, que cubren varias plataformas y dificultan mantener la visibilidad y el control", dijo Christiaan Beek, director de análisis de amenazas en RAPID7. "También es común notar diferencias en la tolerancia al riesgo entre los equipos, lo que puede conducir a desacuerdos sobre las vulnerabilidades para priorizar, retrasando así las acciones necesarias.» »

Para las operaciones de TI, los desarrolladores de software y los equipos de seguridad en la misma longitud de onda, Eran Livne (Qualys) aconseja centrarse en los objetivos comunes: "Trabajar en objetivos comunes facilita la colaboración, la comunicación y la eliminación del riesgo. Esto también hace posible fortalecer la responsabilidad de todos los equipos en cuestión, en lugar de verlos rechazar la falla entre ellos, como sucedió en el pasado.

Según Rich Newton, de Pentest People, "es posible mejorar considerablemente las prácticas de aplicación de las soluciones haciendo una propiedad conjunta entre los equipos de TI y los equipos de seguridad". Una opinión compartida por Dave Harvey (KPMG), para quienes las empresas eficientes integran las prácticas seguras desde el inicio de sus procesos de desarrollo: "La integración de la seguridad y la gestión de riesgos en el proceso de desarrollo, de su origen, permite una mejor comprensión de los problemas, así que el inicio de sus procesos:" La integración de la seguridad de la seguridad y el riesgo en el proceso de desarrollo, a partir de su origen, permite una mejor comprensión de los problemas, por lo que los sistemas de inicio: "La integración de la seguridad de la seguridad y el riesgo en el proceso de desarrollo, a partir de su origen, permite una mejor comprensión de los problemas, así que los sistemas de inicio:" La integración de la seguridad de la seguridad y la seguridad de la seguridad en el proceso de desarrollo.

Para controlar sus riesgos, las empresas deben monitorear sus recursos de TI en tiempo real, lo que les permite detectar problemas en su infraestructura lo más rápido posible. Incluso si todos los problemas de seguridad no son idénticos. Se han utilizado menos del 1 % de las vulnerabilidades de CVE publicadas este año, por lo que es imprescindible centrarse en los riesgos que importan para la empresa, y lo hagan en función de los datos.