Por qué el Live Patching es una herramienta de ciberseguridad que cambia las reglas del juego
La aplicación de parches para proteger los sistemas contra las vulnerabilidades de seguridad es una de las prioridades de las operaciones de seguridad. Sin embargo, a pesar de la atención prestada a los parches, es algo que ha demostrado ser muy difícil de hacer bien.
La mayoría de los equipos se conforman con un compromiso imperfecto y peligroso que implica un tiempo medio de parcheo (MTTP) inaceptable. Más recursos pueden ayudar... pero solo hasta cierto punto, y dado lo infradotados que están la mayoría de los departamentos de TI, es probable que esos recursos adicionales no aparezcan.
Lo que necesita es un cambio de juego, y en esta entrada del blog vamos a explicar por qué la adopción de live patching es el único paso simple que puede tomar para acelerar, simplificar y automatizar su enfoque de parcheo.
No puede permitirse un error de parcheado
Las vulnerabilidades sin parches siguen siendo una de las principales causas de las violaciones de la ciberseguridad. Una encuesta del Ponemon Institute reveló que casi el 60% de las organizaciones que sufrieron una violación de datos lo hicieron debido a una vulnerabilidad no parcheada.
El número de vulnerabilidades y de vulnerabilidades explotadas crece rápidamente. Cada año aparecen miles de nuevas vulnerabilidades en la lista de Vulnerabilidades y Exposiciones Comunes (CVE), con un informe de Ivanti de 2021 revela un aumento interanual del 29% en las CVE asociadas al ransomware.
Por supuesto, la mayoría de estas vulnerabilidades están cubiertas por parches de los proveedores. Aplique el parche lo suficientemente rápido y la vulnerabilidad dejará de suponer un peligro.
Parchear con coherencia es realmente difícil
Gracias a los parches de los proveedores, la aplicación sistemática de parches puede mejorar enormemente la ciberseguridad de los sistemas de una organización, ya que la aplicación sistemática de parches cierra la puerta a una gran parte de las amenazas a la ciberseguridad. Pero la aplicación de parches rara vez se lleva a cabo con la regularidad y rapidez suficientes para alcanzar su potencial de protección:
- Disrupción incorporada: Las rutinas estándar de aplicación de parches suelen requerir el reinicio de los sistemas o aplicaciones para aplicar un parche, lo que provoca una interrupción total de los servicios o, como mínimo, una degradación del rendimiento, ninguna de las cuales es aceptable para una organización o sus clientes.
- Difícil de coordinar: Parchear como siempre se ha hecho implica desconectar la máquina o el servicio, lo que implica programar el tiempo de inactividad. Requiere coordinación con múltiples partes interesadas, un proceso que rápidamente se complica enormemente cuando implica a miles de partes.
- Falta de recursos: Incluso si los equipos consiguen coordinar las ventanas de mantenimiento, lo más probable es que los recursos internos de personal no sean suficientes para cubrir las horas de trabajo necesarias para parchear de forma coherente, lo que conduce a una aplicación de parches incoherente.
El efecto neto es que el MTTP se prolonga durante meses, y algunas vulnerabilidades permanecen sin parchear durante años, o nunca llegan a parchearse. Por eso, a pesar de las conocidas ventajas de los parches, las empresas siguen parcheando de forma incoherente y siguen dejando las puertas abiertas de par en par a los ciberataques.
Sin embargo, existe un enfoque para la aplicación de parches de vulnerabilidad que automatiza el proceso y permite a las empresas evitar tener que programar tiempos de inactividad o reinicios, aunque muchas organizaciones aún no lo han aplicado. Se llama live patching.
Live Patching soluciona los mayores retos de la aplicación de parches
La premisa que subyace a la aplicación de parches en vivo es sencilla. Con live patching, se aplica un parche crítico en memoria mientras se ejecuta el servicio, y el código parcheado sustituye inmediatamente al código vulnerable.
Fundamentalmente, la aplicación de parches en tiempo real elimina la necesidad de reiniciar el servicio y las interrupciones asociadas. Para conocer cómo funciona esta tecnología y todas sus ventajas, consulte nuestra guía completa sobre live patching.
Ya se trate de parchear en directo un sistema operativo completo, una base de datos o un entorno de máquinas virtuales, la aplicación de parches en directo ofrece muchas ventajas:
- Seguridad mejorada: Gracias al live patching, los parches se aplican casi instantáneamente en el momento de su publicación, lo que crea una protección casi perfecta contra las nuevas vulnerabilidades. Al reducir su MTTP al mínimo, la aplicación de parches en tiempo real minimiza la oportunidad de que los actores de amenazas exploten una vulnerabilidad.
- Mínimo trastorno: Cuando se elimina la necesidad de reiniciar los sistemas, se eliminan las interrupciones asociadas. Se acabaron los tiempos de inactividad programados y las incómodas disculpas por servicios degradados y de bajo rendimiento.
- Recursos liberados: Dado que la aplicación de parches en tiempo real se realiza automáticamente en segundo plano, los equipos de SecOps dedican menos tiempo a la aplicación de parches y a la gestión del proceso de aplicación de parches, lo que significa que los equipos pueden dedicar más tiempo a otras actividades de valor añadido.
- Reducción de costes: Los parches activos reducen el impacto económico de la amenaza de ciberseguridad al disminuir los recursos necesarios para ocuparse de los parches, al tiempo que reducen las posibilidades de que un servicio sin parches provoque una costosa brecha de ciberseguridad.
- Mejores relaciones con las partes interesadas: Menos interrupciones significan menos quejas de colegas, clientes y el nivel C. Una menor presión sobre el personal de TI se traduce en una mayor disponibilidad de recursos informáticos, lo que aumenta el valor global del departamento de TI.
Aunque la aplicación de parches en vivo tiene muchas ventajas destacadas, la primera que hemos destacado es la que realmente tiene que ver con la aplicación de parches en vivo. La tecnología de Live Patching protege sus sistemas mucho mejor de lo que podría hacerlo el equipo de TI más dedicado y con más recursos con un enfoque de parcheo convencional..
Proteja sus operaciones con Live Patching
En la batalla contra los actores de amenazas, cualquier victoria potencial -por pequeña que sea- es algo que los equipos de SecOps deben perseguir lo antes posible.
La aplicación de parches en directo es una gran ventaja para los equipos de operaciones de seguridad. La capacidad de aplicar parches de forma sistemática y sin interrupciones cambia las reglas del juego. Gracias a la aplicación de parches en tiempo real, los sistemas están siempre protegidos frente a las amenazas y los equipos de operaciones de seguridad pueden centrarse en otras tareas críticas para la empresa. Además, la aplicación de parches en tiempo real es rentable y fácil de implementar.
Muchos equipos de operaciones de seguridad ya utilizan un enfoque de aplicación de parches en vivo para una única distribución, como Ksplice, kpatch, etc., que a menudo están vinculados a un costoso paquete de soporte del fabricante y solo funcionan para una distribución de Linux. TuxCare, por otro lado, automatiza la aplicación de parches en vivo para más de 40 distribuciones de Linux, así como para bibliotecas compartidas, bases de datos, entornos de máquinas virtuales e incluso dispositivos IoT, todo ello a un coste mucho menor en comparación con las soluciones de aplicación de parches en vivo específicas de un proveedor.
Los equipos de SecOps deben considerar seriamente la adopción de un enfoque de live patching independiente del proveedor que funcione en varias distribuciones de Enterprise Linux y ver cómo puede encajar en sus operaciones. Puede leer más sobre las soluciones de live patching de TuxCare aquí.