ClickCease ¿Qué significa la crítica directiva CISA?

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

¿Qué significa la crítica directiva CISA y cómo debe responder?

17 de noviembre de 2021 - Equipo de RRPP de TuxCare

Seamos realistas: todo el mundo está harto. Los exploits están por todas partes, y es casi imposible tratar el problema de forma estanca.

Algunas organizaciones hacen un gran esfuerzo, desplegando soluciones punteras de gestión de vulnerabilidades y parcheando en tiempo real para minimizar el impacto de las vulnerabilidades, pero muchas otras luchan, y algunas no hacen ningún esfuerzo en absoluto.

Esta falta de acción crea oportunidades para los actores malintencionados, y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) había visto tantos exploits exitosos que sintió que necesitaba trazar una línea, obligando a las agencias sobre las que tiene autoridad a actuar.

Por eso, el 3 de noviembre, la CISA emitió una nueva directiva que obliga a los organismos federales civiles a abordar 306 vulnerabilidades críticas que, según la CISA, suelen dar lugar a explotaciones exitosas.

¿Quién es el CISA y qué es una directiva CISA?

 

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras es una agencia federal creada bajo la supervisión del Departamento de Seguridad Nacional de Estados Unidos para supervisar y gestionar los riesgos de ciberseguridad a los que se enfrentan las agencias del gobierno federal estadounidense.

La CISA emite directivas vinculantes que cubren temas críticos de ciberseguridad del momento y los organismos federales están obligados a responder a estas directivas. En otras palabras, cuando la CISA emite una directiva, innumerables organizaciones gubernamentales están obligadas a actuar, por ejemplo, corrigiendo una vulnerabilidad.

También cabe señalar que cuando la CISA emite una directiva, ésta se aplica a todo el software y hardware afectado utilizado en los sistemas de información federales: tanto si estos sistemas están alojados en la agencia como si los suministra un proveedor externo, lo que amplía el alcance implícito de una directiva de la CISA.

¿Qué dice la última directiva CISA?

 

Como decíamos al principio de este artículo, todo el mundo está harto de las consecuencias del complejo panorama de la ciberseguridad. Y las consecuencias de la inacción crecen cada día. Por eso, en su última directiva, la CISA publicó una lista de 306 vulnerabilidades que las agencias federales están obligadas a solucionar en un plazo concreto.

CISA publicó esta lista porque encontró que un conjunto específico de vulnerabilidades son responsables de una gran proporción de ciberataques exitosos. La intención era garantizar que las agencias federales corrigieran estas vulnerabilidades para reducir significativamente el número total de ciberataques contra agencias gubernamentales.

La directiva también contiene una serie de requisitos de validación e información que van más allá del alcance de este artículo, pero que apuntan a la seriedad con la que CISA se toma el tema en cuestión. La reciente directiva de la CISA es un esfuerzo por mejorar una situación imperfecta en la mayor medida posible, abordando los exploits más peligrosos.

Ejemplos de vulnerabilidades incluidas en la directiva CISA

 

Ahora que sabemos qué es una directiva CISA, veamos las vulnerabilidades que cubre y por qué son importantes. Se trata de una amplia gama de vulnerabilidades, desde infraestructura de servidores (Linux y Apache, por ejemplo) hasta aplicaciones de Microsoft y SAP, e incluso incluye vulnerabilidades en los dos sistemas operativos móviles más populares. La lista incluye incluso las herramientas de seguridad de Sophos, SonicWall y Trend Micro.

Tomemos como ejemplo la vulnerabilidad de la macro Widget Connector en Atlassian Confluence, una popular herramienta de colaboración utilizada por empresas comerciales y gubernamentales. Esta vulnerabilidad permite a los atacantes montar remotamente una ejecución remota de código y un ataque transversal de ruta utilizando la inyección de plantillas del lado del servidor.

Otro ejemplo está relacionado con el popular servidor HTTP Apache - donde varias versiones de Apache Release 2.4 contienen una vulnerabilidad de marcador. Los atacantes pueden ejecutar código en procesos hijo con menos privilegios y escalar la ejecución de código arbitrario a procesos padre con todos los privilegios del sistema. Esta vulnerabilidad de Apache está listada como CVE-2019-0211 y, de nuevo, CISA la incluyó en su lista porque es un exploit peligroso que se utiliza comúnmente en la naturaleza.

Esto demuestra lo amplia que es la gama de vulnerabilidades cubiertas por la directiva CISA, lo que a su vez demuestra lo extendida que está la amenaza de la ciberseguridad: las amenazas se esconden en todas partes, y sin duda es un reto gestionarlas de forma exhaustiva.

Espera, ¿qué tiene que ver CISA con nosotros?

 

La directiva CISA apunta a las agencias federales de todo Estados Unidos. Cabe preguntarse qué tiene que ver una directiva del Gobierno estadounidense con las empresas comerciales, por no hablar de las empresas ubicadas en otros países.

Aunque la última directiva de la CISA no tiene autoridad alguna sobre organizaciones ajenas al gobierno federal de Estados Unidos, sí aporta varias lecciones dignas de mención.

En primer lugar, CISA cotejó datos sobre incidentes de ciberseguridad y enumeró las vulnerabilidades que más comúnmente conducen a daños. Su organización debe considerar el seguimiento de esta lista -que seguirá cambiando- para ver si depende de alguna de las aplicaciones, servicios o dispositivos enumerados en el informe. Si es así, considere la posibilidad de parchearlos lo antes posible o de adoptar soluciones alternativas. Es importante señalar que, según la descripción proporcionada por CISA, se trata de vulnerabilidades que se sabe que están siendo explotadas en la actualidad, por lo que no se trata simplemente de parchear algo que puede llegar a ser explotado, sino que estos fallos están siendo explotados activamente .

Pero hay una cuestión más amplia en juego. Como señalábamos al principio de este artículo, las vulnerabilidades y los ciberataques asociados son tan omnipresentes que todo el mundo se está cansando de ello. La mitigación funciona, pero hasta cierto punto.

Esta lista específica elaborada por CISA es un intento de llamar la atención sobre las vulnerabilidades más dañinas, pero, implícitamente, reconoce que los esfuerzos típicos de gestión de vulnerabilidades simplemente no son suficientes. Algo tiene que cambiar.

Las estrategias existentes suponen un reto

 

Así, aunque la lista adjunta a la directiva CISA apunta a correcciones críticas e inmediatas, sólo existe debido a estrategias imperfectas de gestión de riesgos. Más concretamente, muestra lo incompleto que es el régimen típico de aplicación de parches: después de todo, muchas de las vulnerabilidades de la lista de la CISA podrían remediarse fácilmente con simples parches.

La lista CISA no es en absoluto una alternativa a la evaluación continua de vulnerabilidades y la aplicación de parches, sino una respuesta al hecho de que las estrategias de riesgos de ciberseguridad no son perfectas. El mensaje subyacente es que las organizaciones necesitan afinar su gestión de riesgos de ciberseguridad, estén o no bajo el ámbito de la CISA.

Hacerlo no es sencillo, por supuesto, debido a la limitación de tiempo y recursos, así como a las implicaciones prácticas de las estrategias de mitigación. Fijémonos en los parches, por ejemplo. Sí, todo el mundo sabe que los parches son importantes, pero en realidad a menudo se descuidan. Se descuida porque los administradores de sistemas no tienen tiempo para aplicar parches a fondo, y porque la aplicación de parches puede ser perjudicial y provocar tiempos de inactividad que frustran a las partes interesadas.

En las administraciones públicas, sometidas a presiones financieras, es posible que no haya presupuesto ni recursos y que no haya nadie con la responsabilidad última. Pero lo mismo puede decirse de las organizaciones comerciales.

Mejorar la gestión de los parches es un comienzo

 

La aplicación de parches es un rompecabezas: aunque se disponga de los recursos necesarios, la interrupción asociada puede ser un problema. Hay formas de evitar las interrupciones: una planificación exhaustiva puede ayudar, mientras que los sistemas redundantes y de carga equilibrada también pueden ayudar a minimizar el impacto de los parches. Pero incluso con los mejores esfuerzos, la aplicación de parches sigue siendo imperfecta y deja oportunidades a los atacantes.

Afortunadamente, la tecnología punta tiene la costumbre de sacarnos de apuros. Gracias a lo que se conoce como live patching, los administradores de sistemas pueden asegurarse de que los parches se aplican a los servicios críticos sin necesidad de reiniciarlos.

Live patching es una forma sencilla y automatizada de parchear servicios críticos de uso común, con parches sobre la marcha. Live patching reduce el tiempo que consume la aplicación de parches, de modo que los administradores de sistemas pueden parchear más a fondo y liberar tiempo para otras tareas urgentes.

Limite las interrupciones y mejore la seguridad

 

Sin embargo, lo más importante es que el live patching elimina las interrupciones. En otras palabras, gracias al live patching, los equipos técnicos pueden garantizar que los parches se apliquen de forma coherente y eficaz, sin necesidad de pausar los servicios, planificar ventanas de mantenimiento o coordinar la cooperación de las partes interesadas. En otras palabras, menos cosas se interponen en el camino de la aplicación de parches.

Y todos comprendemos las ventajas de aplicar parches de forma coherente: cuando los parches se aplican con la misma rapidez con la que se publican, se minimiza la ventana de oportunidad para un atacante. No se puede parchear más rápido que la velocidad a la que se publican los parches, y entre el día cero y la publicación de un parche siempre hay una ventana.

Sin embargo, a los atacantes les lleva tiempo explorar una vulnerabilidad y encontrar un objetivo, y en términos generales los parches se publican lo suficientemente rápido como para detener a la mayoría de los atacantes en su camino. Si no se aplica el parche, aumentan las posibilidades de ataque. Pero si se aplica el parche en cuanto sale, la ventana de oportunidad es mínima.

La lección central de la directiva CISA

 

Los parches y otros métodos de mitigación de la ciberseguridad no se aplican con la coherencia que deberían. Esto deja a los atacantes con amplias -a veces indefinidas- ventanas de oportunidad para que los actores malintencionados monten un ataque. Por eso CISA se sintió motivada para publicar una directiva: la lista de CISA contiene vulnerabilidades comúnmente atacadas que CISA sabe que las agencias federales no estaban parcheando.

La moraleja, por supuesto, es que hay que mejorar la aplicación de parches y lo mismo para otras medidas de ciberseguridad. No debería ser necesario que CISA o cualquier otro publicara un recordatorio de los parches que hay que atender.

Así que ahí es donde estamos: parches imperfectos que se vuelven tan malos en la práctica que una agencia federal estadounidense tiene que emitir una directiva. ¿Cuál es la respuesta? Una mejor gestión de los parches y de la seguridad en general. Afortunadamente, las herramientas necesarias están apareciendo poco a poco, y cuando se trata de parchear, el parcheo en vivo es una victoria rápida: no hay forma de parchear los sistemas más rápido que eso.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín