Por qué los parches virtuales son esenciales para la mitigación de vulnerabilidades

Una de las tareas más críticas con las que la mayoría de los equipos de seguridad empresarial luchan continuamente es cómo proteger a sus organizaciones contra vulnerabilidades nuevas y existentes. La solución más fácil es parchar los activos de la empresa contra las vulnerabilidades con un parche emitido por el proveedor diseñado para evitar cualquier posible explotación. Cuando el equipo de FortiGuard Labs produce investigaciones de amenazas sobre un nuevo exploit, sus informes incluyen la siguiente información para ese plan de mitigación, junto con recomendaciones de mitigación que a menudo se refieren a parches específicos proporcionados por los proveedores:

Plataformas afectadas: (Sistemas operativos o dispositivos afectados)
Partes afectadas: (Usuarios de versiones de software específicas, dispositivos, etc.)
Impacto: (Detalles de malware)
Nivel de gravedad : (Alto / Medio / Bajo)

Pero, ¿qué sucede cuando no es posible parchear el activo? Por ejemplo, los parches a veces pueden romper una aplicación debido al estricto control de dependencia, lo que significa que solo puede admitir un nivel de versión específico del sistema operativo. Por supuesto, siempre existe la posibilidad de que el desarrollador de la aplicación pueda emitir una actualización para admitir el nuevo nivel de parche. Sin embargo, los efectos pueden ser más profundos si una aplicación que se ejecuta en un sistema operativo afectado es personalizada o interna y no puede repararse. 

Un desafío aún más difícil es cuando los dispositivos se integran en infraestructura crítica o sistemas OT sensibles , como una caldera masiva o un horno de hogar abierto que no se puede desconectar para parchear. En estos y otros casos similares, la siguiente mejor opción es algo llamado parcheo virtual.

Veamos por qué los parches virtuales pueden ser una herramienta crítica para los equipos de seguridad que necesitan responder rápidamente a las amenazas nuevas e incluso existentes. 

Los exploits y el malware utilizan vulnerabilidades para propagarse y propagarse

Al leer el Informe del  panorama de amenazas de FortiGuard Labs 2019 para el cuarto trimestre , queda claro que el crecimiento en la explotación de vulnerabilidades es un resultado directo de la superficie de ataque en expansión resultante de la innovación digital. Aquí hay un breve vistazo a las principales plataformas y tecnologías a las que apunta la actividad de explotación en el cuarto trimestre de 2019. Se trazan en la Figura 1 de acuerdo con la prevalencia (eje horizontal) y el volumen (eje vertical).

Las 25 principales tecnologías dirigidas por la actividad de explotación en el cuarto trimestre de 2019 por prevalencia y volumen global. Fuente: FortiGuard Labs Q4, Informe de panorama de amenazas 2019Las 25 principales tecnologías dirigidas por la actividad de explotación en el cuarto trimestre de 2019 por prevalencia y volumen global. Fuente: FortiGuard Labs Q4, Informe de panorama de amenazas 2019

Destacan en la esquina superior izquierda los intentos de explotar una vulnerabilidad (CVE-2019-12678) en el módulo de inspección del Protocolo de Inicio de Sesión (SIP) de los Dispositivos de Seguridad Adaptativos. Estos incidentes cibernéticos ocuparon el lugar más alto en la escala de volumen, probablemente porque la explotación exitosa resulta en una condición de denegación de servicio. Además, cuatro de las cinco vulnerabilidades más frecuentes atacan vulnerabilidades en aplicaciones CMS populares. 

Uno de los temas subyacentes que se pueden derivar de los datos anteriores es que la mayoría de los exploits y malware atacan vulnerabilidades subyacentes en aplicaciones y software de grado empresarial.

Protéjase contra exploits con parches virtuales

El parcheo es una actualización provista por un desarrollador para una aplicación, sistema operativo o código de firmware diseñado para reparar una vulnerabilidad descubierta y evitar que sea explotada. Para que un parche funcione, debe implementarse en activos individuales. Un parche virtual es similar a un parche lanzado por un proveedor porque proporciona protección contra un exploit específico. Pero en este caso, la diferencia es que este parche se implementa a nivel de red utilizando una regla IPS en lugar de hacerlo en el dispositivo en sí. A veces también se le conoce como control de proximidad, ya que detiene una amenaza antes de que alcance su objetivo. 

Un sistema IPS está diseñado para inspeccionar el tráfico y buscar y bloquear actividades maliciosas. Y con la firma correcta, también se puede usar para identificar y detener los intentos de explotar vulnerabilidades específicas. Debido a que cualquier exploit tiene que tomar una ruta de red definida para su ejecución, ser capaz de identificar una amenaza específica hace que sea posible interrumpir o bloquear el exploit modificando las reglas de la red. Estas firmas IPS específicas, o parches virtuales, se pueden implementar a nivel de red utilizando la funcionalidad de prevención de intrusiones (IPS) integrada en un NGFW o un dispositivo IPS independiente tradicional.

Aquí hay algunos casos en los que el parcheo virtual es crítico:

  • Los parches virtuales ofrecen a las empresas un nivel crítico de cobertura hasta que un proveedor lanza un parche de software para cubrir una nueva vulnerabilidad.
  • Muchas grandes empresas que utilizan estrategias de administración de parches tradicionales no implementan los parches de inmediato. Por ejemplo, muchos equipos de TI necesitan validar si un parche introducirá o no nuevos problemas en entornos donde muchas aplicaciones y flujos de trabajo deben interactuar. Esta prueba de validación introduce demoras adicionales una vez que un proveedor lanza un parche de software. El parcheo virtual proporciona cobertura crítica durante la fase inicial «activa» de una campaña de malware activo para proteger las vulnerabilidades conocidas de la explotación mientras la empresa prueba el parche del proveedor.
  • Los parches virtuales son aún más críticos para los activos de misión crítica que requieren una planificación significativa y tiempo de inactividad para que se implemente un parche tradicional. Estos pueden incluir sistemas que se implementan de forma remota, como un sistema de monitoreo de tuberías; dispositivos que ejecutan sistemas sensibles que juegan un papel crítico en, por ejemplo, un entorno de fabricación (por ejemplo, monitoreando una válvula o termostato en un tanque que contiene miles de galones de materiales cáusticos); o incluso infraestructura crítica como redes eléctricas o represas hidroeléctricas que no pueden desmontarse.

Fortinet ofrece parches virtuales a través de FortiGate IPS

  • IPS de FortiGate : los clientes de Fortinet pueden aprovechar sus NGFW FortiGate para implementar y entregar un parche virtual a nivel de red. Esto se puede hacer utilizando la capacidad IPS integrada dentro del NGFW, o implementando FortiGate como un IPS independiente. Los FortiGate NGFW, con su diseño y arquitectura de hardware únicos, tienen un historial probado de implementarse con éxito como soluciones IPS dedicadas. 
  • FortiGuard Labs : FortiGate NGFW aprovecha el equipo de inteligencia de amenazas líder de la industria, FortiGuard Labs. Este importante equipo de investigación no solo descubre vulnerabilidades, sino que también crea firmas para las vulnerabilidades y vulnerabilidades conocidas. Con más de 860+ descubrimientos de vulnerabilidades de día cero atribuidos al equipo, más que los siguientes competidores combinados, pueden crear parches virtuales para proteger a las organizaciones contra vulnerabilidades nuevas y existentes mucho antes de que un fabricante o desarrollador lance un parche. Y para que esa protección sea aún más fácil de implementar, los parches virtuales se cargan automáticamente a los dispositivos FortiGate todos los días.

Conclusión

En los entornos dinámicamente cambiantes de hoy, el ciclo de parche tradicional simplemente no puede escalar para mantener el ritmo de la sofisticación y la frecuencia de los ataques, y la velocidad a la que se descubren y explotan nuevas vulnerabilidades como resultado de la expansión de la superficie de ataque digital.

Los parches virtuales deben considerarse un componente integral de la estrategia de administración de parches de cada organización. No solo protegen contra nuevas amenazas, sino que también brindan una cobertura efectiva para otros escenarios, como se discutió anteriormente. Con los parches virtuales, las aplicaciones y los datos críticos del negocio pueden protegerse mejor, ya que un parche virtual puede eliminar rápidamente la ventana de oportunidad y, por lo tanto, minimizar el riesgo para el negocio al cerrar el camino hacia la explotación. Esto permite a las organizaciones reducir su exposición a las vulnerabilidades en todos los ámbitos y escalar sus respuestas y cobertura en consecuencia con las defensas apropiadas que se pueden implementar en cuestión de minutos u horas. 

Para obtener más detalles sobre cómo FortiGate IPS ofrece una estrategia de reemplazo para IPS existente existente, descargue una copia de nuestro  documento técnico .

Obtenga más información sobre la   investigación de amenazas de FortiGuard Labs y la cartera de servicios y suscripciones de seguridad de FortiGuard  . Regístrese  para recibir el resumen semanal de amenazas de FortiGuard Labs. 

Participe  en nuestra comunidad de usuarios de Fortinet (Fuse). Comparta ideas y comentarios, obtenga más información sobre nuestros productos y tecnología, o conéctese con sus compañeros.

Fuente: https://www.fortinet.com/blog/business-and-technology/why-virtual-patching-essential-for-vulnerability-mitigation

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información