Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Live Patching vs. Virtual Patching
Joao Correia
18 de noviembre de 2022 - Evangelista técnico
Hay muchas formas diferentes de mejorar el parcheado tradicional, por lo que es fácil confundirse sobre cómo funciona cada enfoque de parcheado. En el pasado, hemos analizado el parcheado tradicional frente al parcheado en vivo, pero también hemos recibido preguntas sobre el parcheado virtual y cómo funciona.
En esta entrada del blog, exploraremos las diferencias entre live patching y virtual patching, describiremos las situaciones en las que cada uno es más útil y le ayudaremos a decidir cuál es la mejor opción para su propio entorno.
Parcheado en vivo
Empecemos con el parcheado en vivo: es el proceso de parchear una aplicación en ejecución directamente mientras se está ejecutando, en memoria. Los archivos en el disco no se tocan, pero cada instancia de la aplicación o biblioteca que se esté ejecutando se actualizará para reflejar la última versión parcheada. Si reinicia la aplicación, se reiniciará como lo que está actualmente en el disco y cualquier parche en vivo será reaplicado por su aplicación de parches en vivo después de que se inicie. La solución KernelCare Enterprise de TuxCare es un ejemplo perfecto de ello.
La principal ventaja es que la aplicación de parches se convierte en una acción no disruptiva y, por tanto, pueden aplicarse con mayor frecuencia, lo que permite responder más rápidamente a las nuevas amenazas.
Cuando se aplica correctamente, el parcheado activo puede proteger un sistema de muchos tipos diferentes de vulnerabilidades, independientemente de que dichas vulnerabilidades puedan explotarse de forma remota o sólo localmente. Esto protege contra el encadenamiento de vulnerabilidades, es decir, cuando un exploit sólo local se despliega después de que otra vulnerabilidad permita el acceso remoto (o incluso a través de un acceso remoto válido comprometido).
Parcheado virtual
Veamos ahora parcheado virtual. El parcheado virtual es el proceso de bloquear un exploit conocido a nivel de red. Funciona a nivel de cortafuegos, ya sea localmente para proteger un único sistema o a nivel de cortafuegos perimetral para proteger los sistemas situados detrás del cortafuegos.
El parcheado virtual se centra específicamente en vulnerabilidades explotables de forma remota, por lo que si un actor malicioso compromete el inicio de sesión remoto de un usuario válido y luego despliega un exploit sólo local para obtener una elevación de privilegios, el parcheado virtual no protegería contra ello. De hecho, la aplicación de parches virtuales no "parchea" nada, simplemente impide que el atacante explote remotamente algunas vulnerabilidades.
El parcheo virtual se basa en "firmas" o perfiles de red conocidos y, por tanto, puede ser derrotado si el atacante añade capas de cifrado adicionales o cambia alguna parte de la ruta de ataque conocida. Es mejor considerarlo una capa adicional dentro del cortafuegos que una verdadera solución de parcheo, similar a lo que hacen los cortafuegos a nivel de aplicación.
Sin embargo, si el atacante consigue saltarse el cortafuegos, la protección no funcionará en absoluto. De hecho, si varios sistemas dependen de ese cortafuegos para protegerse frente a las vulnerabilidades, eludir el cortafuegos (ya sea mediante cifrado, acceso remoto o cambiando la firma del ataque) significa que todos los sistemas estarán en peligro.
Cuando bloquea un ataque, para un actor externo simplemente parecerá que no ha funcionado, por lo que dicho actor podría suponer que el sistema objetivo no es vulnerable o que, de hecho, ha sido parcheado (de ahí el nombre). Al igual que con los parches en vivo, en ningún momento se actualiza ningún archivo.
Conclusión
Siempre es deseable contar con capas adicionales de seguridad. Por eso tenemos cortafuegos, parches, antivirus y una serie de otras herramientas para elevar el perfil de seguridad de un sistema o entorno, pero el parcheo virtual no sustituye al parcheo en vivo. Cada clase de mecanismo de aplicación de parches tiene objetivos distintos y opera a niveles diferentes en una infraestructura informática.
Si le preocupa mantener los sistemas en funcionamiento de forma segura y desea cerrar la mayor cantidad de problemas de seguridad, ya sean explotables local o remotamente, la aplicación de parches en vivo es la mejor solución para su situación.
Si, además, quiere añadir parches virtuales, considérelo una protección a nivel de red, no a nivel de sistema.
