WannaCry y la realidad de los parches

Autor: Mark Nunnikhoven, vicepresidente de Cloud Research, Trend Micro

La variante de ransomware WannaCry del 12 de mayo de 2017 ha sido diseñada para aprovechar los desafíos de seguridad más comunes a los que se enfrentan las grandes organizaciones hoy en día. A partir de un phishing básico, esta variante utiliza una reciente vulnerabilidad (CVE-2017-0144/MS17-010) para propagarse sin control a través de las redes internas más débiles, causando estragos en grandes organizaciones.

Consulte este post del NYT https://t.co/K7lVjagq29

— MalwareTech (@MalwareTechBlog) May 13, 2017

La reacción intuitiva de los que estaban al margen era, comprensiblemente, preguntarse «¿Por qué no han parcheado sus sistemas?» Como la mayoría de los problemas en el mundo digital, esto no es tan simple. Si bien es fácil culpar a las víctimas, esta campaña de ransomware realmente pone de relieve los principales desafíos a los que se enfrentan los defensores.

No es el último zero-day, un parche para MS17-010 estaba disponible 59 días antes del ataque -o del atacante persistente. Uno de los mayores retos a los que se enfrenta la comunidad de seguridad hoy en día es comunicar eficazmente la ciberseguridad dentro del contexto más amplio del negocio.

Parchear… Ahora

Un dicho popular en la comunidad de seguridad es que el parcheo es tu primera línea de defensa. A pesar de esto, no es raro que pasen 100 días o más para que las organizaciones implementen un parche. ¿Por qué?

Es complicado. Pero la razón puede ser reducida aproximadamente al hecho de que las TI son críticas para el negocio. Las interrupciones del negocio son frustrantes y costosas.

Desde la perspectiva del usuario, la frustración es creciente cuando hablamos de la temida «Configuración de actualizaciones. 25% completo. No apague la pantalla del ordenador». El constante aluvión de actualizaciones es agotador y se interpone en el camino del trabajo. Lo que empeora las cosas es la naturaleza impredecible del comportamiento de la aplicación después del parche.

Hace unos 10 años, las «mejores prácticas» se formaron alrededor de amplias pruebas de parches antes de desplegarlos. En ese momento, el principal aliciente estaba en la calidad del parche. No era infrecuente que un parche bloqueara un sistema. Hoy en día, los parches de vez en cuando causan este tipo de problemas, pero son la excepción no la regla.

El mayor reto ahora son las aplicaciones personalizadas y de terceros que no siguen las prácticas de codificación recomendadas. Estas aplicaciones pueden basarse en características no documentadas, comportamientos únicos o accesos directos que no se admiten oficialmente. Los parches pueden cambiar el paisaje que hace que las aplicaciones empresariales críticas sean inutilizables también hasta que pueden ser parcheadas.

Este ciclo es el motivo por el cual la mayoría de los negocios se adhieren a las prácticas tradicionales de probar parches, lo que retrasa significativamente su implementación. Invertir en pruebas automatizadas para reducir el tiempo de implementación es caro y un coste difícil de justificar dada la larga lista de áreas que necesitan atención dentro de la infraestructura de TI.

Este constante río de parches dificulta que las organizaciones evalúen realmente los riesgos y desafíos de implementar parches de seguridad críticos.

El peso de lo heredado

El argumento en torno al parche supone, por supuesto, que un parche está realmente disponible para resolver el problema. Este es el día cero o zero-day. Si bien la amenaza de los zero-day es real, los ciclos de parches largos significan que a los 30 días, a los 180 días y los días siguientes las probabilidad de que se produzca utilice un ataque zero-day es más alta. El informe sobre Investigaciones de Brechas de Datos de Verizon constantemente destaca cuántas organizaciones son violadas usando exploits de vulnerabilidades parcheables.

La campaña de WannaCry utilizó una vulnerabilidad que se conocía públicamente desde hacía 59 días. Lamentablemente, seguiremos viendo explotada esta vulnerabilidad durante las próximas semanas, si no son meses.

Para empeorar las cosas, el MS17-010 sólo se actualizó o parcheó en plataformas compatibles. Una posición que Microsoft ha invertido desde entonces y ha publicado un parche para todas las plataformas afectadas (les felicitamos por hacer esa llamada). Aunque es lógico proporcionar parches para las plataformas soportadas, la realidad es que el número «soportado» es muy diferente al número «desplegado».

 

 

Sabemos que Windows XP, Windows Server 2003 y Windows 8 continúan vivos, algunos informes contabilizan el 11,6% de los escritorios de Windows y el 17,9% de los servidores de Windows. Estas cifras representan una gran cantidad de sistemas vulnerables que necesitan ser protegidos.

Hay soluciones de seguridad de terceros (algunas de Trend Micro) que pueden ayudar a resolver el problema, estos sistemas heredados son un peso para continuar en la senda del progreso. A medida que un sistema envejece, es más difícil de mantener y representa un mayor riesgo para la organización.

El malware, al igual que la variante del 12-May-2017 WannaCry, aprovecha este hecho para maximizar el éxito y su ataque… y sus beneficios potenciales.

Los equipos de seguridad necesitan ayudar al resto de los equipos de TI y explicar la necesidad de invertir en la actualización de la infraestructura heredada. Es un argumento para el que es difícil lograr el éxito. Después de todo, los procesos de negocio se han adaptado a estos sistemas y desde un proceso de carga de trabajo, son fiables.

El desafío está en cuantificar el riesgo que plantean (mantenimiento y seguridad) o al menos poner este riesgo en la perspectiva adecuada para tomar una decisión de negocio informada.

Crítico… Pero real

Con demasiada frecuencia, las vulnerabilidades son señaladas como críticas. 637 y seguimos contando hasta ahora en 2017, que es un ritmo más rápido que las 1.057 reportadas en 2016 (¡y estos números son sólo para vulnerabilidades explotables de forma remota!). Su organización no va a verse afectada por todo esto, pero es justo decir que enfrentará una decisión sobre una vulnerabilidad crítica una vez al mes.

Para tomar la decisión de interrumpir el negocio, usted va a tener que evaluar ese impacto. Aquí es donde las organizaciones tienden a vacilar. Es extremadamente difícil reducir una la decisión a números.

En teoría, usted debe considerar el coste del tiempo de inactividad (al implementar el parche) y compararlo con el coste de una violación. Ponemon e IBM tienen el coste de una brecha de datos en 2016 en un promedio de 4 millones de dólares (el 4% del volumen de negocios mundial para las empresas de la UE). Esto significa que siempre se deben aplicar parches a menos que el tiempo de inactividad cueste más de 4 millones de dólares.

Excepto que no se tiene en cuenta la probabilidad de que ocurra la infracción o el coste  de usar el control de seguridad para mitigar el problema. Aquí es donde la cosa se pone realmente complicada y altamente individualizada.

El debate sobre cómo evaluar adecuadamente esta decisión se acrecienta en la comunidad de TI, pero específico para WannaCry, la ecuación era realmente bastante sencillo.

Microsoft publicó MS17-010 en marzo de 2017 y lo consideró como crítico. Un mes más tarde, se produjo un volcado de datos muy alto y se hizo público que contenía una vulnerabilidad de fácil comprensión y ejecución para explotar las vulnerabilidades parcheadas por MS17-010. En este punto, el equipo de seguridad puede garantizar que su organización verá ataques aprovechando esta vulnerabilidad.

Eso pone la probabilidad de ataque al 100%. Así que a menos que vaya a costar 4 millones parchear sus sistemas, el parche debe ser desplegado de inmediato.

Mitigación

Los sistemas sin parchear todavía necesitan ser protegidos. Con WannaCry, todos los sistemas afectados ahora, y de nuevo, son parcheables, gracias a un generoso movimiento de Microsoft. Con otras amenazas de malware, no se da este caso por lo general.

Aquí es donde las mitigaciones entran en juego. Estas mitigaciones también ganan tiempo para que los parches se desplieguen.

WannaCry es un sólido ejemplo de una nueva variante que causó daños significativos antes de que el escaneo tradicional antimalware se pudiera implementar. Aquí es donde los modelos de aprendizaje automático y análisis de comportamiento que se ejecutan en el punto final endpoint son críticos.

Estas técnicas proporcionan una protección continua e inmediata contra las nuevas amenazas. En el caso de WannaCry, los sistemas con este tipo de protección para el endpoint no se vieron afectados. Tras un análisis más profundo por parte de la comunidad de seguridad, los controles tradicionales fueron capaces de detectar y evitar que la última variante de WannaCry echara raíces.

Cuando en su lugar, fuertes controles de red (como la prevención de intrusiones) fueron capaces de bloquear la propagación indiscriminada de WannaCry a través de las redes corporativas. Este es otro argumento para la microsegmentación dentro de la red.

Por último, los correos electrónicos de phishing siguen siendo el método más eficaz de distribución de malware. 79% de todos los ataques de ransomware en 2016 comenzaron a través de phishing.

La exploración enérgica de los correos electrónicos para detectar las amenazas y la implementación de gateways web sólidos son una necesidad.

Protegiendo contra la próxima amenaza

WannaCry es una amenaza que se mueve rápido y que ha tenido un impacto significativo en el mundo real. En el proceso, han quedado expuestos desafíos fundamentales de la ciberseguridad del mundo real.

La aplicación de parches es un problema crítico y necesita que toda la organización de TI trabaje con el resto del negocio para ser efectiva. Año tras año, la mayoría de los ataques se aprovechan de vulnerabilidades que pueden parcheables. Esto significa que la mayoría de los ciberataques son actualmente prevenibles.

El parcheo rápido combinado con razonables controles de seguridad para mitigar las amenazas nuevas y las existentes son lo que primero necesita su organización para reducir su riesgo a la hora de operar en el mundo digital.

Si bien el problema y las soluciones son de naturaleza técnica, el trabajo se inicia con las comunicaciones. No hay mejor momento para empezar que ahora.

¿Qué piensas de los sistemas y parches antiguos? ¿Cómo se están abordando estas cuestiones en su organización? Coméntamelo en Twitter, a través de @ marknca.

[Nota a los editores: Nuevamente, para obtener la información más reciente de WannaCry relacionada con los productos de Trend Micro, por favor, lea este artículo de soporte.]

http://blog.trendmicro.com/wannacry-reality-of-patching/

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.