Los parches para software pueden salir caros
Para evitarlo se requiere una metodología adecuada
Los parches o fragmentos de código que se pueden añadir a un software para resolver problemas hacen más fáciles los arreglos en los programas. Sin embargo, determinar dónde son necesarios sigue siendo un problema pesado y caro para los directores de Tecnologías de la Información (TI) y sus empresas. Para evitar esta situación, es necesario seguir una determinada metodología.
Un director de TI que quiera estar al día, necesita explorar a conciencia entre 30 y 40 sitios web de fabricantes o especialistas en seguridad buscando los parches más recientes que han emitido para las múltiples aplicaciones de su empresa. En un día normal, se necesitan dos horas para llegar a la conclusión de que no se han emitido nuevos parches, mientras que un día no tan bueno se pueden llegar a emplear hasta cuatro horas en determinar si se está ejecutando correctamente el software utilizado en la corporación. En el peor de los casos, como cuando ataca un gusano como Code Red, la jornada entera del trabajo se emplea en instalar parches para decenas de servidores y cientos de PCs. Cuando no son entre cuatro y cinco días seguidos instalando parches.
Actualmente, han salido al mercado nuevos software de seguridad que hacen más fácil la distribución e instalación de los parches. Sin embargo, la forma rápida y fiable de encontrar nuevos parches y priorizar la instalación sigue siendo difícil y costosa. Según el grupo de analistas Aberdeen, las compañías gastan más de 2.000 millones de dólares anualmente en Estados Unidos en la investigación y despliegue de parches. Entretanto, la presión para encontrar e instalar todos los parches va en aumento al incrementarse la seguridad en las compañías y concentrarse en la detección de intrusiones y en la exploración gestionada de vulnerabilidades.
Al final, es una tarea necesaria que hay que realizar, así que las empresas vendedoras de software de seguridad, los usuarios finales y los analistas han desarrollado algunas ideas para hacerlo como desarrollar una red de parches, ganar tiempo dando prioridades y evaluar antes de parchear.
La primera modalidad, la de desarrollar una red de parches, se basa en la idea de que los productos de software de seguridad pueden ayudar a simplificar y racionalizar el proceso de encontrar parches, ofreciendo conexiones con sitios web de empresas vendedoras. Sin embargo, estas compañías están siendo objeto de críticas por no poner los parches a disposición del usuario con suficiente rapidez. Una idea para agilizar esta tarea es establecer una red de “problemas y fallos iguales” en múltiples empresas y organizaciones, formada por ejemplo por antiguos compañeros o personas en instituciones de mentalidad similar, según sugiere un analista de Aberdeen Group. “Pueden ser el mejor recurso disponible,” afirma. Los portales web de seguridad, como Sans.org e Incidents.org, ofrecen también una primera línea de acción para identificar parches y posibles arreglos. “Hay que encontrar lugares buenos y fiables que recojan los datos, y crear el hábito de leerlos cada día,” sugiere el grupo Aberdeen.
Establecimiento de prioridades y evaluaciones previas
La segunda posibilidad es ganar tiempo estableciendo prioridades. Antes de apresurarse a instalar todos los parches en los problemas que aparezcan, hay que dar priorizar a las instalaciones de acuerdo con el impacto del fallo de software sobre la empresa. Por ejemplo, un punto vulnerable en una aplicación de comercio electrónico deberá tener prioridad sobre uno situado en una plataforma que esté bien oculta de la red Internet. Si se identifica una vulnerabilidad de alta prioridad, los directores de Seguridad tienen que actuar con un software de seguridad a múltiples niveles, localizado tanto en el cortafuegos como en el nivel inferior de la red, lo que puede solventar temporalmente la deficiencia hasta que se instale un parche permanente. Es decir, si la intrusión puede ser detectada, se puede identificar y detener. Esto da tiempo al director de Tecnologías para evaluar cuáles son los parches apropiados que hay que desplegar. Por muy crítica que sea la necesidad de un parche, no hay que utilizar arreglos ofrecidos en sitios web de hackers ya que la empresa puede estar corriendo un riesgo. Es incluso mejor que si se puede pasar sin ejecutar esa aplicación de momento, desactivarla, hasta que aparezca el arreglo.
La tercera recomendación sería evaluar con un software específico para parches antes de instalarlos. Así, para ahorrar tiempo y trabajo, conviene invertir en software de seguridad que mantenga un registro de los parches instalados en cada PC y en cada servidor. El software puede también comprobar que los parches están funcionando bien y clasificar por prioridades la vulnerabilidad de cada aplicación, planificando los upgrades necesarios después de las horas de oficina. Otra sugerencia es probar primero el parche en un entorno de desarrollo para verificar que no crea nuevos problemas al integrarse con el resto del sistema. Las compañías que no tienen el lujo de disponer de un entorno de pruebas completo pueden desarrollar una versión reducida con al menos una copia del sistema operativo para ejecutar las aplicaciones en modo de producción.
Pero este software no es la panacea. El director de TI tiene que estar precavido ante algunos problemas que puedan surgir ya que algunos paquetes de parches de seguridad funcionan mejor con determinadas versiones de software. Además, el personal de soporte técnico puede rechazar ayudar si se ha instalado un determinado parche porque sus compañías no estaban utilizando la versión más reciente del software de la empresa vendedora en cuestión. Por último, se han detectado algunos casos en los que el software de exploración para buscar parches daba resultados falsamente positivos en máquinas no infectadas.
Un director de TI que quiera estar al día, necesita explorar a conciencia entre 30 y 40 sitios web de fabricantes o especialistas en seguridad buscando los parches más recientes que han emitido para las múltiples aplicaciones de su empresa. En un día normal, se necesitan dos horas para llegar a la conclusión de que no se han emitido nuevos parches, mientras que un día no tan bueno se pueden llegar a emplear hasta cuatro horas en determinar si se está ejecutando correctamente el software utilizado en la corporación. En el peor de los casos, como cuando ataca un gusano como Code Red, la jornada entera del trabajo se emplea en instalar parches para decenas de servidores y cientos de PCs. Cuando no son entre cuatro y cinco días seguidos instalando parches.
Actualmente, han salido al mercado nuevos software de seguridad que hacen más fácil la distribución e instalación de los parches. Sin embargo, la forma rápida y fiable de encontrar nuevos parches y priorizar la instalación sigue siendo difícil y costosa. Según el grupo de analistas Aberdeen, las compañías gastan más de 2.000 millones de dólares anualmente en Estados Unidos en la investigación y despliegue de parches. Entretanto, la presión para encontrar e instalar todos los parches va en aumento al incrementarse la seguridad en las compañías y concentrarse en la detección de intrusiones y en la exploración gestionada de vulnerabilidades.
Al final, es una tarea necesaria que hay que realizar, así que las empresas vendedoras de software de seguridad, los usuarios finales y los analistas han desarrollado algunas ideas para hacerlo como desarrollar una red de parches, ganar tiempo dando prioridades y evaluar antes de parchear.
La primera modalidad, la de desarrollar una red de parches, se basa en la idea de que los productos de software de seguridad pueden ayudar a simplificar y racionalizar el proceso de encontrar parches, ofreciendo conexiones con sitios web de empresas vendedoras. Sin embargo, estas compañías están siendo objeto de críticas por no poner los parches a disposición del usuario con suficiente rapidez. Una idea para agilizar esta tarea es establecer una red de “problemas y fallos iguales” en múltiples empresas y organizaciones, formada por ejemplo por antiguos compañeros o personas en instituciones de mentalidad similar, según sugiere un analista de Aberdeen Group. “Pueden ser el mejor recurso disponible,” afirma. Los portales web de seguridad, como Sans.org e Incidents.org, ofrecen también una primera línea de acción para identificar parches y posibles arreglos. “Hay que encontrar lugares buenos y fiables que recojan los datos, y crear el hábito de leerlos cada día,” sugiere el grupo Aberdeen.
Establecimiento de prioridades y evaluaciones previas
La segunda posibilidad es ganar tiempo estableciendo prioridades. Antes de apresurarse a instalar todos los parches en los problemas que aparezcan, hay que dar priorizar a las instalaciones de acuerdo con el impacto del fallo de software sobre la empresa. Por ejemplo, un punto vulnerable en una aplicación de comercio electrónico deberá tener prioridad sobre uno situado en una plataforma que esté bien oculta de la red Internet. Si se identifica una vulnerabilidad de alta prioridad, los directores de Seguridad tienen que actuar con un software de seguridad a múltiples niveles, localizado tanto en el cortafuegos como en el nivel inferior de la red, lo que puede solventar temporalmente la deficiencia hasta que se instale un parche permanente. Es decir, si la intrusión puede ser detectada, se puede identificar y detener. Esto da tiempo al director de Tecnologías para evaluar cuáles son los parches apropiados que hay que desplegar. Por muy crítica que sea la necesidad de un parche, no hay que utilizar arreglos ofrecidos en sitios web de hackers ya que la empresa puede estar corriendo un riesgo. Es incluso mejor que si se puede pasar sin ejecutar esa aplicación de momento, desactivarla, hasta que aparezca el arreglo.
La tercera recomendación sería evaluar con un software específico para parches antes de instalarlos. Así, para ahorrar tiempo y trabajo, conviene invertir en software de seguridad que mantenga un registro de los parches instalados en cada PC y en cada servidor. El software puede también comprobar que los parches están funcionando bien y clasificar por prioridades la vulnerabilidad de cada aplicación, planificando los upgrades necesarios después de las horas de oficina. Otra sugerencia es probar primero el parche en un entorno de desarrollo para verificar que no crea nuevos problemas al integrarse con el resto del sistema. Las compañías que no tienen el lujo de disponer de un entorno de pruebas completo pueden desarrollar una versión reducida con al menos una copia del sistema operativo para ejecutar las aplicaciones en modo de producción.
Pero este software no es la panacea. El director de TI tiene que estar precavido ante algunos problemas que puedan surgir ya que algunos paquetes de parches de seguridad funcionan mejor con determinadas versiones de software. Además, el personal de soporte técnico puede rechazar ayudar si se ha instalado un determinado parche porque sus compañías no estaban utilizando la versión más reciente del software de la empresa vendedora en cuestión. Por último, se han detectado algunos casos en los que el software de exploración para buscar parches daba resultados falsamente positivos en máquinas no infectadas.
