¡Actualizar ya!

Seba Bortnik —  9 diciembre 2008 — Deja un comentario

Hoy leía un interesante post en el blog de Nessus respecto a la famosa vulnerabilidad MS08-067 de Microsoft. El artículo en sí es un seguimiento a través de lo observado por el autor y la gente de Nessus, sobre cómo reaccionó el público ante la vulnerabilidad en cuestión, y cuáles fueron los comportamientos para remediar (o no) la vulnerabilidad. Vale la pena leer el post completo pero me interesan un par de comentarios puntuales.

El primero:

“There are many different scenarios where a network exploit will not work because of a firewall rule or a system configuration. Being un-exploitable and un-patched are two different states.”

“Hay muchos escenarios diferentes donde un exploit puede no funcionar por la existencia de una regla de firewall o una configuración del sistema. Sin embargo, ser no-explotable a no-parcheado son dos estados diferentes

Este primer punto viene a colación de la actitud de mucha gente de testear si son o no vulnerables a través de exploits. Como dice el autor: groso error. Un exploit puede no funcionar y sin embargo uno ser vulnerable. Suponiendo el caso de que el exploit no tenga éxito por una regla de firewall, esta podría ser removida posteriormente y quedar el equipo vulnerable. Parcheando el Sistema Operativo, la remediación es real, más allá de otras medidas de seguridad en otras capas. Es decir, es la sutil diferencia entre hacer las cosas bien o no.

Por otro lado, se lee:

“There were also many organizations that cited the CVSS score of 10 as the main reason for the patching. I would jokingly ask if it would help them politically if we just started putting “10s” on all of the vulnerability audits”

“Hay muchas organizaciones que toman el CVSS de 10 como la principal razón para parchear. Yo les preguntaría en broma si los ayudaríamos politicamente si pusieramos ’10’ a todas las vulnerabilidades

Para clarificar, por las dudas, el “CVSS score” es un estandar para calificar vulnerabilidades según el riesgo. Un CVSS de 10 es una vulnerabilidad crítica, lo que implica a grandes rasgos la relación entre los riesgos probables, la facilidad de explotación y el contexto (lease exploits, u otros…).

Este es el punto que me resultó más interesante. Por que esta gente que solo parchea ante estos eventuales casos de vulnerabilidades críticas son justamente aquellos que entienden a la seguridad como acciones y controles aislados, y no como un proceso continuo y complejo.

La calificación de vulnerabilidades es una medida para priorizar y organizar los planes de acción en la remediación de todas las vulnerabilidades. Aquellos que solo tomen “en serio” una vulnerabilidad de alto riesgo (además esto se deberá a que los medios presten atención a ella) no estarán trabajando realmente por la seguridad, sino simplemente implementando pequeños controles a problemas puntuales.

Si se lo piensa en términos de seguridad física, es como si en un edificio, pongo control contra un ataque terrorista, y no pongo seguridad para robos, incendios, incidentes menores, etc.

Recordemos que, ante una vulnerabilidad/riesgo, cuatro son las acciones que puede tomar el usuario:

  1. Reducir: la más frecuente y común. Implica implementar un control para eliminar la explotabilidad y exposición del riesgo
  2. Evitar: implica evitar el agente que posee el riesgo. Por ejemplo, en el caso de una vulnerabilidad en Windows 2003, en lugar de parchear, no utilizar más ese Sistema Operativo.
  3. Transferir: uno puede decidir que otra persona se haga cargo de los riesgos. Es el caso de una contratación de un seguro.
  4. Convivir: la última y menos preferida, pero no por ello innecesaria. Según el contexto, los recursos y el análisis, una organización puede decidir no actuar ante la vulnerabilidad y convivir con ella/

Importante aclaración: decidir no actuar no es lo mismo que “no actuar” por defecto. En el primer caso, existe un proceso de detección, análisis y decisión que es importante para tener validez.

De una u otra forma, lo que me resulta importante destacar es: cualquiera de estas acciones deben ser aplicadas a todas las vulnerabilidades que existan en un sistema. El parcheo de los sistemas y el proceso de management de vulnerabilidades es un pilar fundamental para cualquier proceso de seguridad de la información en una organización.

Como verán… aquí estoy de vuelta y las vacaciones no me vinieron nada mal. 😉

Anuncios

No hay comentarios

¡Se el primero en comenzar la conversación!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s