Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Gestión de parches automatizada con aplicación de parches en tiempo real para el cumplimiento de los controles CIS
3 de noviembre de 2022 - Equipo de relaciones públicas de TuxCare
Los Controles Críticos de Seguridad CIS, ampliamente conocidos como Controles CIS, son una serie de recomendaciones prácticas de ciberseguridad diseñadas para prevenir ataques comunes y no tan comunes contra la infraestructura de TI.
Incluyen una lista priorizada de controles de seguridad que abarcan desde el grupo de implementación 1 (IG1), que cubre las necesidades básicas de seguridad aplicables desde las organizaciones más pequeñas a las más grandes, hasta los grupos de implementación 2 y 3, que cubren las necesidades de organizaciones y empresas con varios departamentos. Al diseñar los controles CIS para defenderse de las amenazas conocidas, el Centro de Seguridad de la Información (CIS) demuestra que su aplicación mitiga el 83% de todas las técnicas del modelo ATT&CK, estableciendo expectativas concretas de seguridad para las organizaciones que adoptan el marco.
Los controles CIS se corresponden con otros marcos de ciberseguridad, como CMMC, NCSC Cyber Assessment Framework, PCI y otros, lo que los convierte en una opción muy atractiva para establecer los controles de ciberseguridad de una organización.
¿Cómo aborda CIS Controls las actualizaciones de seguridad?
En la versión 8 de CIS Controls, hay un control dedicado a la gestión continua de parches y vulnerabilidades. El séptimo control, "Gestión continua de vulnerabilidades", establece los procesos y la infraestructura necesarios para mantener actualizados los activos de software de la empresa, garantizando que las vulnerabilidades no den lugar a una violación de datos.
En principio, es un objetivo fácil de entender y justificar, pero su aplicación no siempre es tan sencilla. Según Ponemon Institute, el 56% de las organizaciones empresariales tardan entre cinco semanas a más de un año para aplicar los parches de seguridad y la misma cantidad de empresas no utiliza la automatización para ayudar con la aplicación de parches de vulnerabilidad.
¿Por qué son importantes las actualizaciones de seguridad?
Los ataques que dan lugar a filtraciones de datos en organizaciones empresariales se producen como resultado de una serie de pasos que da un atacante. Por lo tanto, la postura de seguridad de una organización depende en gran medida de la presencia de múltiples defensas en cada uno de esos pasos.
Un paso comúnmente explotado que conduce a una violación de datos es la explotación de vulnerabilidades de software. Dado el gran número de sistemas operativos, software y hardware que utiliza una organización típica, no es de extrañar que los ataques de ransomware contra aplicaciones web en 2022 fueran principalmente el resultado del aprovechamiento de vulnerabilidades de software.
¿Cuáles son las recomendaciones del CIS para las actualizaciones de seguridad?
Para mejorar la postura de seguridad de una organización frente a las vulnerabilidades del software, el grupo de implementación 1 de CIS Controls incluye 4 controles, que se muestran a continuación.
| 7.1 | Establecer y mantener un proceso de gestión de vulnerabilidades | IG1+ |
| 7.2 | Establecer y mantener un proceso de reparación | IG1+ |
| 7.3 | Gestión automatizada de parches del sistema operativo | IG1+ |
| 7.4 | Gestión automatizada de parches de aplicaciones | IG1+ |
Estos controles se aplican a organizaciones de cualquier tamaño y se consideran ciberhigiene básica.
En resumen, garantizan que las organizaciones realicen actualizaciones de seguridad de forma automática con una periodicidad mensual, o más frecuente. También exigen un proceso documentado para escanear la infraestructura en busca de vulnerabilidades y un proceso de seguimiento para la corrección que se base en el análisis de riesgos, es decir, que se ocupe primero de los activos más importantes para la organización.
A medida que pasamos a organizaciones más grandes, se aplican más requisitos, como se muestra a continuación.
| 7.5 | Realización de análisis automatizados de vulnerabilidades de los activos internos de la empresa | IG2+ |
| 7.6 | Realización de análisis de vulnerabilidad automatizados de activos empresariales expuestos externamente | IG2+ |
| 7.7 | Corrección de las vulnerabilidades detectadas | IG2+ |
Estos controles garantizan además que una organización pase de una gestión de parches proactiva a ser proactiva tanto en la gestión de parches como en la exploración de vulnerabilidades, así como que remedie las vulnerabilidades encontradas según un calendario regular.
Cómo el live patching proporciona la automatización necesaria
Como se ha visto anteriormente, el requisito de gestión automatizada de parches está presente incluso para el grupo de aplicación 1 (ciberhigiene básica) del marco de controles CIS. Al mismo tiempo, aunque hoy en día es posible configurar actualizaciones de seguridad automáticas en un sistema Linux, muy a menudo se trata de una configuración inutilizable en la práctica.
Los parches de seguridad del kernel de Linux y de los componentes más utilizados, como glibc, requieren reiniciar el sistema para aplicarse. Además, las actualizaciones del sistema suelen combinarse con actualizaciones de características que pueden provocar cambios inesperados en el comportamiento del software.
¿Dónde está la automatización de las actualizaciones del sistema?
Por este motivo, los equipos de operaciones despliegan las actualizaciones manualmente en un entorno controlado y, tras probarlas, se implantan en los sistemas de producción durante una ventana de mantenimiento que puede ser mensual, trimestral o cualquier otro intervalo que la organización pueda permitirse.
Aunque esto describe la mejor práctica actual, es, de hecho, un proceso manual, lo que anula el objetivo de automatización en la aplicación de parches de seguridad. Con un proceso de parcheo manual, la ventana de vulnerabilidad de explotación se hace grande, ya que los parches deben esperar a la siguiente ventana de mantenimiento para ser aplicados.
Live patching al rescate
KernelCare live patching es una solución que parchea el kernel de Linux y las aplicaciones mientras se ejecutan. A diferencia de las actualizaciones del sistema, este enfoque no requiere reiniciar el sistema y se utiliza exclusivamente para parches de seguridad, lo que significa que no hay cambios de comportamiento en el software.
KernelCare live patching mejora el programa de gestión de parches de una organización mediante la introducción de la automatización y la consiguiente reducción del tiempo necesario para parchear vulnerabilidades, así como de la ventana de explotación de vulnerabilidades.
Para ello, proporciona parches activos para las vulnerabilidades del núcleo de Linux y los componentes críticos del espacio de usuario que plantean un riesgo de explotación, independientemente de su puntuación CVSS. Al mismo tiempo, cada kernel de Linux y soporte de componentes recibe parches en vivo durante toda su vida útil, lo que garantiza que el proceso de parcheado en vivo sea compatible con los procesos de mantenimiento de cada organización, ya sean periódicos o ad hoc.
KernelCare live patching aporta automatización al control CIS "Automated Operating System Patch Management" y complementa aún más el programa de gestión de vulnerabilidades de una organización al integrarse perfectamente con los principales escáneres de vulnerabilidades.
