Ejecutar un programa de gestión de vulnerabilidades basado en el riesgo es esencial para mantener un entorno informático empresarial seguro. En un blog anterior, «Cómo la implementación de una gestión de parches basada en el riesgo prioriza los exploits activos», ofrecí mi perspectiva sobre cómo priorizar las vulnerabilidades. Perfeccionar el aspecto operativo de la protección de sus sistemas es esencial para ese proceso. 

Llevar a cabo operaciones de aplicación de parches en su organización puede ser un proceso complejo. Incluso con cierta perspectiva sobre la prioridad de las vulnerabilidades, debe seguir teniendo en cuenta:

  • La cadencia de publicación de los parches. 
  • Políticas de apoyo para que este proceso sea eficaz. 
  • Campañas para implementar las actualizaciones. 
  • Acuerdos de nivel de servicio (SLA) y medición del cumplimiento.   

Puede parecer mucho que equilibrar, pero un sistema flexible que gestione los eventos planificados y pueda tener en cuenta los imprevistos le dará el control total. 

¿Tiene el control? 

Hay algunas facetas de las publicaciones de parches que puede planificar y otras que no.   

Tomemos como ejemplo la cadencia de publicación de parches de seguridad. En el Patch Tuesday, el segundo martes de cada mes, Microsoft intenta publicar todas sus actualizaciones más recientes. Estas incluyen actualizaciones para sistemas operativos, Office y otras aplicaciones de usuario, herramientas de desarrollo como Visual Studio y componentes en la nube de Azure, por mencionar algunos ejemplos.  

Patch Tuesday, que celebró su 20.º aniversario en octubre de 2023, es la base de muchos programas de aplicación de parches, ya que proporciona un momento concreto para distribuir todas las actualizaciones más recientes de Microsoft y de terceros disponibles. Ningún otro proveedor ha tenido un impacto tan profundo a la hora de impulsar los programas de aplicación de parches de las organizaciones y, hasta el día de hoy, el ciclo mensual de parches, anclado en Patch Tuesday, sigue siendo un estándar del sector. 

Otros proveedores han intentado seguir su ejemplo y publicar sus actualizaciones conforme a un calendario: 

  • Oracle publica su Critical Patch Update una vez por trimestre. 
  • Adobe suele publicar sus actualizaciones una vez al mes, a menudo en sincronía con Patch Tuesday. 
  • Google empezó recientemente a publicar una única actualización cada semana.   

Sin embargo, la mayoría de los proveedores publican actualizaciones de seguridad tan pronto y con tanta frecuencia como pueden para asegurarse de abordar las vulnerabilidades lo antes posible. Esto genera un flujo aleatorio e interminable de actualizaciones que deben priorizarse y distribuirse constantemente en toda la organización.  

Proceso de gestión de parches para políticas y campañas 

Poner bajo control el caos de las publicaciones de parches requiere un conjunto de reglas claramente definido y una infraestructura para aplicarlas. En el ámbito de los parches, esto se traduce en políticas y campañas.  

La política de parches requiere una amplia variedad de consideraciones más allá de priorizar las vulnerabilidades, incluido el impacto de las actualizaciones en las operaciones empresariales, la aplicabilidad a distintos tipos de sistemas, el grado de control sobre las actualizaciones y otros factores.   

Las políticas de parches ofrecen un claro contraste, en función de su empresa. Para un servidor que aloja aplicaciones empresariales críticas, su política implica un conjunto de actualizaciones claramente definido bajo un estricto control de configuración, se ejecuta únicamente durante una ventana de mantenimiento definida y siempre exige un reinicio al finalizar para garantizar que el sistema esté completamente actualizado. La política de parches para el portátil de un usuario de marketing identifica una serie de aplicaciones con actualizaciones aprobadas que pueden estar presentes o no, y permite al usuario retrasar las actualizaciones y reiniciar cuando le resulte conveniente.  

Las campañas tienen en cuenta estas políticas, pero también aportan control sobre la miríada de parches que se publican constantemente. 

Las prácticas recomendadas de la gestión moderna de parches requieren aplicar parches con más frecuencia que una sola vez al mes. Los parches de Google Chrome se publican semanalmente, y los parches de día cero pueden publicarse en cualquier momento. Una campaña mensual dejará muchos sistemas vulnerables durante periodos prolongados.  

Establezca tres tipos de campañas 

Una práctica recomendada es establecer tres tipos de campañas: mantenimiento periódico, actualizaciones prioritarias e implementaciones críticas.  

Campaña de mantenimiento periódico 

Las campañas de mantenimiento periódico aplican el despliegue mensual estándar de parches por anillos que la mayoría de las organizaciones utilizan hoy. Esta campaña incluye: 

  • Pruebas iniciales en un entorno controlado para garantizar que los parches se instalen según lo previsto. 
  • Despliegue a un grupo piloto más amplio de usuarios pioneros atentos para informar de incidencias. 
  • Despliegue a los grupos predefinidos de sistemas de producción para completar la distribución global.   

Los parches de una campaña de mantenimiento incluyen actualizaciones de seguridad que se publican con menor frecuencia, como las publicaciones de Patch Tuesday de Microsoft, así como mejoras de rendimiento o de aplicaciones. Los sistemas objetivo de esta campaña también pueden ser aquellos que tienen ventanas de mantenimiento limitadas y no pueden interrumpirse sin un impacto empresarial importante. Lo más probable es que la mayoría de los parches entren en la campaña de actualizaciones prioritarias. 

Campaña de actualizaciones prioritarias 

La campaña de actualizaciones prioritarias está diseñada para abordar rápidamente aquellos sistemas que tienen una exposición continua a nuevas vulnerabilidades, pero que pueden actualizarse con mayor frecuencia. Los sistemas de usuario que ejecutan aplicaciones de productividad y navegadores entran en esta campaña y suelen ser los que presentan mayor riesgo por su exposición al phishing, malware y ransomware.  

Los parches asociados a esta campaña suelen tener la máxima prioridad debido a vulnerabilidades con explotación conocida, pero también pueden tener un impacto empresarial relativamente bajo y requerir el reinicio de un navegador o una aplicación. Como resultado, las políticas pueden tener un ciclo de pruebas más corto antes de su publicación y distribuirse con mayor rapidez a grupos más amplios de sistemas que no son críticos para la empresa; por ejemplo, puede que los servidores no tengan instalado un navegador, pero los portátiles de ventas sí. 

Campaña de respuesta de día cero 

La campaña de respuesta de día cero se reserva para la implementación de emergencia de parches, obligatoria para la empresa o el sector, que debe estar lista en un plazo breve. Esta campaña tiene prioridad sobre todas las demás.   

La política de esta campaña podría acortar el tiempo o reducir los estándares entre despliegues con controles de aprobación, o podría ignorarlos por completo en función del SLA que deba cumplirse. Lo más importante en las campañas de respuesta de día cero: sigue siendo una distribución controlada de parches, y toda la actividad se sigue notificando para realizar un seguimiento preciso de los eventos de la campaña hasta su finalización. 

El tiempo de exposición determina el cumplimiento 

Si el cumplimiento se mide en términos de equipos completamente parcheados, con esta métrica la mayoría de los sistemas solo cumplen durante un número limitado de horas al mes. Aunque técnicamente es exacto, se trata de un indicador deficiente para mostrar la seguridad del sistema a lo largo del tiempo en un programa basado en el riesgo. Mostrar el «tiempo de exposición» a una vulnerabilidad determinada o a un grupo de vulnerabilidades proporciona un mejor indicador del riesgo. 

Este es un ejemplo: CVE-2024-4761 se notificó como corregida en una actualización de Google Chrome publicada el 14 de mayo, que coincidió con el Patch Tuesday de mayo.  Al día siguiente, este parche de Chrome se añadió a una campaña de actualizaciones prioritarias que incluía un periodo de distribución de dos semanas en 500 sistemas del Grupo 1 y 1000 sistemas del Grupo 2. Suponiendo que la mayoría de los sistemas se actualizaran correctamente dentro de ese plazo de dos semanas, un informe mostraría cuándo se actualizó cada sistema, pero, lo que es más importante, cuánto tiempo permaneció cada uno de estos 1500 sistemas sin parchear: expuesto a la vulnerabilidad y en riesgo. 

Este es un ejemplo sencillo de una vulnerabilidad y un parche. Pero si hubiera varios parches en la campaña con varias vulnerabilidades, la información podría agregarse para ofrecer una vista más completa de la campaña. Si se ejecutaran varias campañas durante el mismo periodo, el resultado podría superponerse o combinarse para proporcionar una evaluación del riesgo aún más precisa.   

Con estos datos, puede mostrar a un auditor el verdadero estado de seguridad de sus sistemas. Quizá más importante aún, puede empezar a evaluar los resultados y mejorar la eficacia de su operación moderna de gestión de parches. En ese momento, es usted quien dirige la operación, y no al revés.