Live Patching para cumplir la normativa

El Instituto Nacional de Normas y Tecnología (NIST) aconsejó a las organizaciones, incluidos los proveedores de servicios sanitarios, gubernamentales federales/estatales y financieros, que implanten las actualizaciones de software a través de herramientas de gestión de parches empresariales utilizando un método estructurado para reducir los riesgos asociados al aplicarlos a todos los hosts y aplicaciones.

Las organizaciones que no pertenecen al gobierno federal suelen adoptar la norma NIST 800-171 debido a su amplia cobertura de cumplimiento y a los mandatos de privacidad entretejidos en los diversos controles definidos en él, incluido el cumplimiento de parches y los flujos de trabajo de automatización recomendados.

Live patching de TuxCare, que proporciona parches de vulnerabilidad automatizados sin necesidad de reiniciar el núcleo de Linux, se alinea con el marco NIST 800-171 al proporcionar parches críticos acelerados a hosts Linux y otros componentes que permiten a las organizaciones mantenerse al día con las últimas vulnerabilidades de seguridad.

Entonces, ¿cómo ayuda el live patching a cada régimen de cumplimiento, en concreto?

Live Patching para FedRamp

El procedimiento estándar FedRamp para la adquisición y prestación de servicios en la nube tiene como objetivo proporcionar la información de seguridad necesaria para los departamentos gubernamentales y las organizaciones que realizan negocios con el gobierno federal. FedRamp se alinea con NIST 800-53 y todos los departamentos del gobierno federal están obligados a cumplir con este marco.

El cumplimiento de FedRamp es riguroso y costoso; sin embargo, abre las puertas de empresas de todos los tamaños al creciente mercado de la nube. Es fundamental para alcanzar los objetivos de seguridad mediante el uso de un CSP FedRamp aprobado, incluida la confidencialidad y la privacidad; se refiere a la protección de la información personal. El cumplimiento de la gestión de parches ayuda a los departamentos a cumplir las normas reglamentarias al tiempo que se reduce el impacto de las vulnerabilidades críticas que afectan a diversas superficies de ataque. 

Las soluciones de Live Patching ayudan a las agencias gubernamentales a cumplir con la norma NIST 800-53 dentro de dos partes de la normativa FedRamp: corrección de fallos y protección contra códigos maliciosos. Los controles de cumplimiento de FedRamp solo son aplicables a los servicios de computación en la nube.

A diferencia de otros métodos de aplicación de parches, la aplicación de parches en tiempo real permite a las organizaciones aplicar automáticamente los parches más recientes sin necesidad de reiniciar los sistemas, lo que les ayuda a cumplir los requisitos de la norma NIST 800-53 con mucho menos trabajo manual y tiempo de inactividad.

Cumplir el dominio de mantenimiento CMMC

Para cumplir los requisitos del CMMC, la organización debe revisar y documentar las actividades para evaluar su eficacia, notificar a la dirección de alto nivel cualquier problema y garantizar la optimización de los procesos en toda la organización.

El dominio de Mantenimiento (DM) de la CMMC publica directrices para priorizar, organizar y ejecutar el mantenimiento:

• 2.111 Realice el mantenimiento de parches en los sistemas exigidos por las normas de cumplimiento.
• 2.112 Proporcionar controles sobre las herramientas, técnicas y personal utilizados para llevar a cabo el mantenimiento del sistema, incluida la automatización de la gestión de parches.
• 2.113 Requerir MFA para establecer sesiones de mantenimiento no locales a través de conexiones de red externas.
• 2.114 Supervisar las actividades de mantenimiento del personal sin acceso requerido.

Gracias a las soluciones de parcheo en vivo de TuxCare para hosts Linux, OpenSSL, bases de datos de código abierto y otras bibliotecas críticas, los clientes pueden cumplir más fácilmente los requisitos del dominio de mantenimiento CMMC. Además de parchear los sistemas críticos, TuxCare admite la colocación interna de su consola de gestión de parches dentro de una red de bucle cerrado con espacio aéreo para el despliegue seguro de las actualizaciones.

Los parches como medicina preventiva para las TI sanitarias

Las organizaciones sanitarias deben parchear continuamente todos los sistemas para protegerse contra cualquier vulnerabilidad conocida. Muchas organizaciones sanitarias admiten que han sufrido filtraciones de datos debido a vulnerabilidades no parcheadas. Debido a las dificultades presupuestarias en el mercado sanitario, muchas organizaciones carecen de un programa de gestión de vulnerabilidades definido con un proceso de gestión de parches para toda la empresa. A medida que más proveedores sanitarios trasladan sus aplicaciones a la nube, la necesidad de una gestión avanzada de las vulnerabilidades resulta esencial. 

Gestión del cumplimiento de la HIPAA con recursos limitados

La HIPAA no aborda específicamente la gestión de vulnerabilidades, pero sí la identificación de las mismas.

El Reglamento 45 C.F.R. § 164.308 (a) (5) (ii) (B), así como su norma de evaluación en 45 C.F.R. § 164.308 (a) (8), cubre también los procesos de gestión de parches.

Las organizaciones programan y llevan a cabo un análisis formal de riesgos para determinar cualquier posible violación de la información electrónica sobre la salud personal que se ajuste a la confidencialidad, integridad y disponibilidad de acuerdo con 45 C.F.R. § 164.308 (a) (1) (i) (A). A continuación, deben llevarse a cabo procesos de gestión de riesgos conformes con la HIPAA, tal como se establece en 45 C.F.R. § 164.308 (a) (1) (i) (B).

Sin embargo, las organizaciones deben identificar y mitigar el riesgo que supone el software sin parches. Deben incluir un inventario del software como uno de los componentes de su plan de mitigación de ataques a la seguridad. Mantener un sistema preciso de notificación del estado de cumplimiento de los parches ayudará a las organizaciones sanitarias a darse cuenta del riesgo que corren diversos sistemas y aplicaciones. 

Se ha demostrado que la aplicación de parches en directo es eficaz para proteger rápidamente los sistemas sanitarios, ya que automatiza totalmente las actualizaciones de vulnerabilidades del software sin complejas ventanas de control de cambios, con menos recursos de operaciones de seguridad y sin reinicios del sistema relacionados con la aplicación de parches.

Parcheado PCI 6.2 (procesamiento de tarjetas de crédito) para proteger cada pasada

Para cumplir el requisito 6.2 de PCI DSS, las organizaciones que manejan datos de tarjetas de pago deben instalar cualquier actualización de seguridad disponible en todos los sistemas pertinentes en el plazo de un mes desde su disponibilidad.

Todas las actividades de aplicación de parches deben notificarse a un sistema de gestión de registros de toda la empresa para análisis de seguridad e informes de cumplimiento.

¿Por qué los parches son esenciales para cumplir la normativa PCI?

• Los atacantes pueden explotar estas vulnerabilidades para atacar o interrumpir un sistema u obtener acceso no autorizado a datos sensibles.
• Las organizaciones deben dar prioridad a los sistemas y dispositivos de infraestructuras críticas PCI a la hora de aplicar las actualizaciones de seguridad.

Durante las auditorías mensuales o anuales, las organizaciones que procesen tarjetas de crédito en sistemas no parcheados o vulnerables estarán sujetas a multas y a la suspensión de la aceptación de tarjetas de crédito hasta que la seguridad se resuelva y se vuelva a auditar.

Los requisitos adicionales de cumplimiento de la PCI, incluido el DS6.4, exigen que todas las aplicaciones y sistemas seguros sigan una gestión de cambios adecuada, incluidas las actualizaciones de seguridad de parches y las aplicaciones específicas que admiten sistemas de tarjetas de crédito.

Los terminales de procesamiento de tarjetas de crédito que funcionan con sistemas operativos Linux pueden parchearse más a menudo y antes de que los parches estén disponibles cuando las organizaciones adoptan un enfoque de live patching.

Apoyo a la PCI 6.4 Control de cambios

El requisito 6.4 de PCI DSS incluye procedimientos en torno a los procesos de control de cambios para todos los cambios en los componentes del sistema. 

También recomendó la aplicación de parches para

• Los parches deben aplicarse a todos los entornos de desarrollo, fase y control de calidad, de forma similar a los sistemas de producción en vivo.

Las organizaciones deben mantener una distancia entre los entornos de control de calidad y desarrollo y los datos de los titulares de tarjetas de producción. El espacio es necesario para evitar que los datos de los titulares de tarjetas de producción se vean comprometidos a través de configuraciones menos seguras y debilidades potenciales en las plataformas QA o Dev. 

Cumplir las obligaciones de conformidad con TuxCare

Los mandatos de cumplimiento son fundamentales para la continuidad de las operaciones de la mayoría de las organizaciones reguladas. Las empresas que operan en mercados regulados que requieren que sus sistemas de TI, aplicaciones y protección de ciberseguridad cumplan con los diversos mandatos de cumplimiento, incluyendo, FedRamp, CMMC, HIPAA y PCI, pueden adoptar un enfoque de live patching para poner sus parches de vulnerabilidad en piloto automático y cumplir con estos regímenes más fácilmente.

No sólo TuxCare ofrece parches en vivo automatizados y sin reinicio para todas las distribuciones Linux empresariales más populares, sino que las soluciones de parches en vivo de TuxCare presentan una interoperabilidad impecable con escáneres de vulnerabilidades, sensores de seguridad, automatización y herramientas de generación de informes.

Además de los núcleos Linux empresariales, TuxCare despliega parches en tiempo real para bibliotecas compartidas, plataformas de virtualización, bases de datos de código abierto y dispositivos IoT, así como Linux al final de su vida útil, como CentOS 7.

¿Está preparado para charlar con un experto en parcheado de Linux y descubrir cómo la adopción de un enfoque de parcheado en vivo puede mejorar la eficacia operativa de su organización?

Contacte con un experto TuxCare

Resumen

Nombre del artículo

Live Patching para cumplir la normativa

Descripción

Live patching permite aplicar parches de forma automatizada sin necesidad de reiniciar el núcleo de Linux. Cómo ayuda con cada régimen de cumplimiento?

Autor

John Gormally

Nombre del editor

TuxCare

Logotipo de la editorial