Los riesgos y las consecuencias de la gestión laxa de parches

 Políticas de administración de parches de seguridad cibernética

Aunque los parches de software pueden ser inconvenientes y engorrosos tanto para las empresas como para los usuarios individuales, estos arreglos cumplen una función importante en la protección de los sistemas informáticos que ahora son vitales para la vida cotidiana.

A principios de este mes, una mujer con una afección potencialmente mortal falleció después de que los piratas informáticos colapsaran los sistemas de TI de un hospital importante en la ciudad de Dusseldorf.

El paciente de emergencia no pudo ser admitido para recibir tratamiento porque la Clínica de la Universidad de Duesseldorf no pudo acceder a los datos después de sus sistemas había sido interrumpido durante una semana por un aparente ataque de ransomware. Como resultado, la mujer fue enviada a un hospital a 32 kilómetros de distancia, donde los médicos no pudieron comenzar el tratamiento hasta dentro de una hora. Posteriormente murió.

Para sabotear los sistemas hospitalarios, los piratas informáticos explotaron una vulnerabilidad Citrix ADC CVE-2019-19781 que puede permitir a los atacantes ejecutar su propio código en servidores pirateados. Según los informes, el ataque "mal dirigido" estaba destinado originalmente a la Universidad Heinrich Heine, según una nota de extorsión de los piratas informáticos.

Citrix emitió un parche para la vulnerabilidad el 24 de enero, pero parece que el hospital había aún no ha instalado la solución.

La misma vulnerabilidad de Citrix se aprovechó el 9 de septiembre para atacar los servidores del gigante italiano de gafas Luxottica Group, según la firma italiana de ciberseguridad SecurityOpenLab. Ese ataque obligó a Luxottica a cerrar sus operaciones en Italia y China.

Prioridades de ciberseguridad

Incidentes como este plantean la pregunta de por qué las empresas no parchean las vulnerabilidades tan pronto como los fabricantes de software emiten una solución.

"Demasiadas organizaciones dependen demasiado de los escáneres para descubrir qué se necesita parchear, "Chloé Messdaghi, vicepresidente de estrategia en Point3 Security dijo a TechNewsWorld. Estos "proporcionan sólo el mínimo de información".

Muchos escáneres no están actualizados y no dan prioridad a los problemas, dijo Messdaghi. "No pueden proporcionar una vista confiable de lo que es crítico para parchear de inmediato, lo que puede ser una prioridad menor pero requiere una acción oportuna y lo que puede tener menos riesgo".

Incluso cuando el personal de TI parchea las vulnerabilidades, es posible que no prueben completamente esos parches, señaló.

En el lado del consumidor, los usuarios emplean las mismas contraseñas en varios sitios o no implementan medidas básicas de ciberseguridad, como instalar software antivirus o antimalware, actualizar ese software y sus sistemas operativos de manera oportuna. ; y abstenerse de hacer clic en vínculos insertados o adjuntos a correos electrónicos cuyo remitente no hayan verificado, o vínculos en páginas web que visitan.

"Una y otra vez, los usuarios han demostrado que ignorarán los consejos de expertos, reutilizarán las credenciales, y seleccionar contraseñas simples ", dijo a TechNewsWorld Dan Piazza, Gerente Técnico de Producto de la firma de ciberseguridad Stealthbits Technologies.

El uso de contraseñas en varias cuentas está muy extendido, declaró la Oficina Federal de Investigación de los Estados Unidos en una notificación de la industria privada al sector financiero a principios de este mes.

"Los ataques exitosos ocurren con más frecuencia cuando las personas usan la misma contraseña o variaciones menores de la misma contraseña para varias cuentas en línea, y / o … usan el inicio de sesión nombres de usuario que se pueden adivinar fácilmente, como direcciones de correo electrónico o nombres completos ", dijo la Comisión de Bolsa y Valores de EE. UU. en una alerta de riesgo emitida el 15 de septiembre

Self-Enforc ement at Every Level

El hecho de que los usuarios no siguieran procedimientos simples de seguridad ha molestado durante mucho tiempo a los expertos y proveedores en ciberseguridad.

En 2004, el entonces director ejecutivo de Microsoft, Steve Ballmer, pidió a los usuarios individuales que asumieran la responsabilidad de su propia ciberseguridad. En 2010, Cisco Systems afirmó que la ciberseguridad es responsabilidad de todos.

Los proveedores de software de alta tecnología y seguridad cibernética, los bancos y otras organizaciones han estado tratando de que los consumidores sigan las reglas básicas para proteger su ciberseguridad durante años, pero "Las empresas ahora deben asumir que los usuarios actuarán en contra de sus mejores intereses en lo que respecta a las credenciales y comenzar a forzar buenos hábitos para las contraseñas y la seguridad", aconsejó Piazza de Stealthbits.

Piazza recomendó que las empresas que intentan proteger sus redes contra las infracciones se consideren reales soluciones de respuesta y detección de amenazas en el tiempo, y software de aplicación de políticas de contraseñas, porque "Convencer a los usuarios de que se adhieran a las mejores prácticas de credenciales es una batalla cuesta arriba, por lo que las empresas deben comenzar a imponer buenos hábitos de manera programática". CISA), parte del Departamento de Seguridad Nacional el 18 de septiembre dio un paso hacia enfor cing parches de vulnerabilidades cuando publicó una directiva de emergencia recomendando encarecidamente tanto al sector público como al privado parchear una vulnerabilidad crítica en el Protocolo remoto de Microsoft Windows Netlogon llamado CVE-2020-1472.

La vulnerabilidad de Netlogon, para la cual Microsoft emitió un parche en agosto que podía permitir a los atacantes hacerse cargo controladores de dominio en la red de una víctima.

CISA dio a los departamentos de TI del sector público el fin de semana, hasta la medianoche. 21 de septiembre: para instalar el parche, eliminar los controladores de dominio que no se pudieron parchear e implementar controles técnicos y de gestión.

Es "virtualmente inevitable" que algunos sistemas del sector público se pierdan, Saryu Nayyar, director ejecutivo de ciberseguridad firma Gurucul dijo a TechNewsWorld. "Incluso los entornos mejor ejecutados tienen errores".

En cuanto al sector privado, "es probable que algunas organizaciones sopesen los costos organizacionales y retrasen el tratamiento de esta directiva basándose en riesgos asumidos o preocupaciones de recursos", agregó Nayyar. Las empresas privadas pueden verse obligadas a parchear la falla de Windows Netlogon.

El 9 de febrero de 2021, Microsoft comenzará a aplicar nuevas configuraciones que mejorarán la seguridad del protocolo remoto de Netlogon, Joe Dibley, investigador de seguridad en Stealthbits Technologies le dijo a TechNewsWorld. La falla deberá repararse primero.

Responsabilidad corporativa

"Casi todas las organizaciones tienen procesos y procedimientos para garantizar que sus sistemas Windows reciban parches de manera automatizada y oportuna, pero muy pocas tienen estrategias para otros productos en su entorno", Chris Clements, vicepresidente de soluciones Arquitectura con proveedor de servicios de seguridad administrados Cerberus Sentinel dijo a TechNewsWorld. "El estado de la aplicación de parches para los dispositivos de red es a menudo abominable, simplemente porque la responsabilidad no ha sido claramente definida".

Dicho esto, las corporaciones "absolutamente pueden asumir más responsabilidad por su propia ciberseguridad", Mounir Hahad, director de Juniper Threat Labs dijo a TechNewsWorld.

En el lado del consumidor, los usuarios hablan de la ciberseguridad, una encuesta en línea de 1,000 personas en los EE. UU. realizada en mayo por servicios de redes profesionales y la firma de contabilidad KPMG encontró .

Aproximadamente el 75 por ciento de los encuestados considera riesgoso usar la misma contraseña para varias cuentas, usar WiFi público o guardar una tarjeta en un sitio web o tienda en línea, pero más del 40 por ciento hace estas cosas, según encuesta .

"Los consumidores son su última línea de defensa cuando se trata de ciberseguridad", comentó Piazza de Stealthbits. "Aunque las empresas y los gobiernos tienen la responsabilidad de proteger los datos confidenciales que poseen, en última instancia, los consumidores pueden garantizar su bienestar digital siguiendo las mejores prácticas de ciberseguridad".

"Cuando se agregan nuevas funciones de seguridad a un sitio web o software, los usuarios por lo general, solo están de acuerdo con ellos si no tienen impedimentos de ninguna manera, o si pueden ver un beneficio inmediato y tangible.

"La mayoría de las mejores prácticas para la seguridad cibernética personal no vienen con factores de motivación fuertes e inmediatos para los consumidores, a menos que ellos miran el panorama completo ", dijo Piazza.

El consumidor no tiene la culpa, afirma Hahad de Juniper." Los profesionales de la ciberseguridad quisieran contar con la ayuda de los consumidores para limitar o mitigar el riesgo de ciberseguridad, pero no podemos responsabilizarlos por cosas que no entienden ", dijo.

La responsabilidad, en su opinión, recae en las empresas para garantizar la ciberseguridad, tanto para ellos como para los consumidores.

Estándares más altos para contraseñas [19659009] "Nos gustaría que los consumidores no mantuvieran las contraseñas predeterminadas, pero preferimos exigir a las empresas que no permitan que las contraseñas predeterminadas persistan", dijo Hahad.

"Podemos pedir a los consumidores que elijan contraseñas más seguras, pero preferimos hacer que los servicios rechacen una contraseña débil. Podemos pedir a los consumidores que no reutilicen las contraseñas, pero preferiríamos tener un consorcio que verifique que las contraseñas no se reutilicen en sitios o servicios ", explicó.

Una forma de evitar esto es implementar la privacidad por diseño, que es la nueva normal al diseñar software, sitios web y servicios, comentó Piazza.

"Si bien no se puede obligar legalmente a los consumidores a seguir las mejores prácticas de seguridad, las regulaciones gubernamentales obligarán a las organizaciones a emplear mejores salvaguardas, lo que a su vez resultará en políticas más aplicadas en torno a la selección de la contraseña del usuario, el uso de la autenticación multifactor y otros aspectos del flujo de trabajo de autorización del consumidor ", concluyó.


Leave a Reply

Your email address will not be published. Required fields are marked *

CLip art of Flip Day 2 CLip art of Flip Day 1 CLip art of Flip Day 1