Si bien la mitigación de amenazas es hasta cierto punto una tarea especializada que involucra a expertos en seguridad cibernética, el día a día de la mitigación de amenazas a menudo aún depende de los administradores de sistemas. Sin embargo, para estos administradores de sistemas no es una tarea fácil. En TI empresarial, los equipos de administradores de sistemas tienen un amplio mandato pero recursos limitados.
Para los administradores de sistemas, encontrar el tiempo y los recursos para mitigar una amenaza creciente y en constante movimiento es un desafío. En este artículo, describimos las dificultades que implica la mitigación de amenazas empresariales y explicamos por qué las herramientas de mitigación automatizadas y especialmente diseñadas son el camino a seguir.
La gestión de amenazas es una tarea abrumadora
Hay una variedad de especialistas que trabajan en la gestión de amenazas, pero la implementación práctica de las estrategias de gestión de amenazas a menudo se reduce a los administradores de sistemas. Ya sea que se trate de administración de parches, detección de intrusiones o reparación después de un ataque, los administradores de sistemas suelen llevar la peor parte del trabajo.
Es una tarea imposible, dada la naturaleza creciente de la amenaza. Solo en 2021, 28,000 vulnerabilidades fueron reveladas. Es un número tan grande que, de hecho, una gran proporción nunca llegó a recibir un CVE. Esto es especialmente relevante en una industria centrada en el láser en el seguimiento de CVE, probando su presencia en nuestros sistemas e implementando parches que mencionan números de CVE específicos. No puedes protegerte contra aquello a lo que no sabes que eres vulnerable. Si una vulnerabilidad dada no tiene un CVE adjunto y todas sus herramientas/mentalidad/procesos están enfocados en CVE, algo fallará. Las razones para no asignar un CVE a una vulnerabilidad son muchos y fuera del alcance de este artículo, pero ninguno de ellos reducirá el trabajo que debe realizarse en seguridad.
Incluso si una organización tuviera un equipo de administradores de sistemas de tres cifras, sería difícil hacer un seguimiento de esta lista de vulnerabilidades en constante crecimiento. Ni siquiera estamos hablando de interacciones en las que una vulnerabilidad puede afectar a un sistema secundario que se ejecuta en su infraestructura de una manera que no es tan obvia.
Con el tiempo, simplemente se funde en un “ruido de fondo” de vulnerabilidades. Existe la suposición de que la aplicación de parches ocurre metódicamente, semanalmente o quizás diariamente, pero en realidad, la información relevante y detallada dentro de los anuncios de CVE nunca llega a la cima de la mente.
Los equipos abrumados toman riesgos
Con las tareas de seguridad, incluida la aplicación de parches, convirtiéndose en un ejercicio tan abrumador, no es de extrañar que los administradores de sistemas comiencen a tomar algunos atajos. Tal vez un administrador de sistemas se pierda esa interacción entre un nuevo exploit y un sistema secundario, o se olvide de probar correctamente los parches antes de implementar la última solución, cualquiera de los cuales puede fallar en la prevención de un colapso en toda la red.
Manejadas sin cuidado, las tareas de administración de seguridad, como la aplicación de parches, pueden tener consecuencias. Un pequeño cambio regresará y perseguirá a los equipos de seguridad unos días, semanas o meses más adelante al romper algo más que no esperaban.
“Cerrar agujeros” es un gran problema dentro de este contexto. Por ejemplo, tome la vulnerabilidad de Log4j, donde cambiar la configuración predeterminada de Log4j podría proporcionar fácilmente una mitigación significativa. Es un paso obvio y sensato, pero la verdadera pregunta es: ¿tiene el equipo de administradores de sistemas los recursos para completar la tarea? No es que sea dificil de realizar per se – pero es difícil rastrear cada uso de log4j en toda la flota del sistema, además el trabajo necesario es además a todas las demás actividades regulares.
Y nuevamente, apuntando a la aplicación de parches, los recursos necesarios para hacerlo de manera consistente a menudo no están disponibles. La aplicación de parches es particularmente difícil dado el hecho de que aplicar un parche implica reiniciar el servicio subyacente. Los reinicios consumen mucho tiempo y son disruptivos y, cuando se trata de componentes críticos, reiniciar simplemente puede no ser realista.
El resultado neto es que las tareas de seguridad esenciales simplemente no se realizan, lo que deja a los administradores de sistemas con la persistente sensación de que la seguridad no es lo que debería ser. También se aplica al monitoreo de seguridad, incluidas las pruebas de penetración y el escaneo de vulnerabilidades. Sí, algunas organizaciones pueden tener especialistas para realizar esta tarea, llegando incluso a tener equipos rojos y equipos azules.
Pero, en muchos casos, el monitoreo de la seguridad es otra tarea más para los administradores de sistemas que inevitablemente se sobrecargarán y terminarán tomando.
Y está empeorando
Uno podría pensar que todo lo que debe suceder es que los administradores de sistemas se adelanten a la carga: reduzcan los músculos y simplemente lo hagan. Al trabajar con el trabajo pendiente, tal vez obteniendo ayuda adicional, los administradores de sistemas podrían administrar la carga de trabajo y hacerlo todo.
Pero hay un pequeño problema aquí. La cantidad de vulnerabilidades está creciendo rápidamente: una vez que el equipo se haya ocupado de los problemas conocidos, sin duda enfrentará aún más. Y el ritmo de las vulnerabilidades se está acelerando, cada año se reportan más y más.
Tratar de mantenerse al día significaría que los equipos aumentan en tamaño, digamos, un 30% año tras año. Simplemente no es una batalla que un equipo humano con enfoques manuales ganará. Claramente, se necesitan alternativas porque una batalla continua de esta naturaleza simplemente no se ganará aumentando el tamaño de los equipos año tras año de manera casi exponencial.
La automatización de la gestión de amenazas es clave
Lo bueno de la informática, por supuesto, es que la automatización a menudo proporciona una salida a las restricciones de recursos persistentes, y ese es el caso también con la gestión de amenazas. De hecho, si desea tener alguna posibilidad de progresar contra el creciente entorno de amenazas, es clave implementar la automatización de tareas en la gestión de vulnerabilidades. Desde la supervisión de nuevas vulnerabilidades hasta la aplicación de parches y la generación de informes.
Algunas herramientas ayudarán con aspectos específicos, otras ayudarán con todos esos aspectos, pero la eficacia de las herramientas tiende a disminuir a medida que la herramienta se vuelve más integral. Las herramientas más especializadas tienden a ser mejores en su función específica que las herramientas que pretenden hacer todo de una sola vez. Piense en ello como la filosofía de las herramientas de Unix: haga una cosa y hágala bien, en lugar de tratar de hacer todo a la vez.
Por ejemplo, remendar puede y debe ser automatizado. Pero la aplicación de parches es una de esas tareas de seguridad que necesitan una herramienta dedicada que pueda ayudar a los administradores de sistemas a aplicar parches de manera constante y con una interrupción mínima.
Un enfoque a medias no funcionará porque la aplicación de parches aún se vería obstaculizada por la aceptación de las ventanas de mantenimiento. Eso quitaría a los equipos de TI la flexibilidad para responder casi en tiempo real a las nuevas amenazas, sin afectar las operaciones comerciales de la organización. Un ajuste perfecto para estos requisitos es la aplicación de parches en vivo a través de herramientas como Herramienta KernelCare Enterprise de TuxCare que ofrece parches automáticos, no disruptivos y en vivo para distribuciones de Linux.
Por supuesto, no es solo la aplicación de parches lo que debe automatizarse. Así como los ciberdelincuentes usan la automatización para detectar vulnerabilidades, los equipos de tecnología deberían confiar en el escaneo continuo y automatizado de vulnerabilidades y las pruebas de penetración. Dentro de esta esfera de automatización también deberían incluirse los cortafuegos, la protección avanzada contra amenazas, la protección de terminales, etc.
No hay ningún lugar seguro para esconderse
Claramente, el problema de las amenazas está empeorando, y rápidamente, mucho más rápido de lo que las organizaciones podrían esperar hacer crecer sus equipos de seguridad si realmente quisieran abordar estos problemas manualmente. Sentarse en un rincón particular en términos de las soluciones en uso tampoco brinda ningún consuelo, en parte porque las soluciones ahora están tan integradas con el código compartido en tantas plataformas que una sola vulnerabilidad puede tener un impacto casi universal.
Además, como encontró una investigación reciente, la lista de los diez productos más vulnerables excluyó algunos productos notables. Por ejemplo, Microsoft Windows, visto anteriormente como uno de los sistemas operativos más vulnerables, ni siquiera está entre los diez primeros, que en cambio está dominado por los sistemas operativos basados en Linux. Confiar en lo que se cree que son alternativas más seguras no es una buena idea.
Subraya cómo la única seguridad real se encuentra en la automatización de la seguridad. Desde el escaneo de vulnerabilidades hasta la aplicación de parches, la automatización es realmente la única ruta que puede ayudar a los administradores de sistemas abrumados a obtener cierto grado de control sobre una situación explosiva; de hecho, es la única vía. manejable solución.
About the Author
