El equipo de Zero Day Initiative (ZDI)* de Trend Micro ha revelado los cambios de política diseñados para hacer frente a un descenso significativo tanto de la calidad de los parches como en la comunicación de los proveedores con los clientes.
Brian Gorenc, director senior de investigación de vulnerabilidades y jefe de ZDI, comparte su punto de vista: “ZDI ha revelado más de 10.000 vulnerabilidades a los proveedores desde 2005, pero nunca hemos estado más preocupados por el estado de los parches de seguridad en el sector. Los proveedores que publican parches inadecuados con avisos confusos les están costando a sus clientes mucho tiempo y dinero, y añaden un riesgo empresarial innecesario”.
ZDI ha identificado tres problemas principales derivados de la publicación de parches defectuosos o incompletos por parte de los proveedores:
- Debido a las prácticas defectuosas de los proveedores, las empresas ya no tienen una visión clara del verdadero riesgo para sus redes.
- Debido a las actualizaciones incompletas y defectuosas, las empresas dedican más tiempo y dinero en parchear lo que ya han parcheado.
- Debido a la falsa creencia de que se ha producido la corrección o una reparación, un parche fallido supone un riesgo mayor que si no se aplica ningún parche.
Estos escenarios multiplican efectivamente el coste de la aplicación de parches porque se requerirán actualizaciones correctivas adicionales para remediar una sola vulnerabilidad, lo que supone un desperdicio de recursos empresariales y un riesgo añadido.
Además, la creciente reticencia de los proveedores a la hora de ofrecer información fidedigna sobre los parches en un lenguaje sencillo hace que los defensores de la red no puedan calibrar con precisión su exposición al riesgo.
Por ello, ZDI está cambiando su política de divulgación de parches ineficaces en un intento de impulsar mejoras en todo el sector. A partir de ahora, el plazo estándar de 120 días se reducirá para los fallos que se cree que son el resultado de un parche de seguridad omitido, de la siguiente manera
- 30 días para los casos más críticos en los que se espera explotación
- 60 días para los fallos de gravedad crítica y alta en los que el parche ofrece algunas protecciones
- 90 días para otros casos de gravedad en los que no se espera una explotación inminente
Incluso cuando los parches están bien diseñados, pueden aumentar involuntariamente el riesgo al alertar a los actores de amenazas sobre la vulnerabilidad subyacente. En pocas organizaciones el tiempo de aplicación de los parches es más rápido que el tiempo de explotación. Cuando los parches están incompletos o son defectuosos, el riesgo de peligro se multiplica.
Aunque los costes de los parches difieren entre las empresas, Trend Micro ha calculado el coste de los parches defectuosos con la siguiente fórmula: Costes totales = f (T, HR, S, PF), donde T es el tiempo dedicado a la gestión de parches, HR es el coste de los recursos humanos necesarios para los especialistas en gestión de parches, S es el alcance que define el número de aplicaciones que hay que parchear, y PF es la frecuencia de los parches, que puede ser cada 2-3 semanas para algunas aplicaciones.
No es extraño que los costes de los parches en las empresas medianas y grandes superen las seis cifras cada mes. Independientemente de la fórmula utilizada para calcular los gastos en parches, la aplicación de múltiples actualizaciones para la misma vulnerabilidad cuesta a las empresas tiempo y dinero reales, a la vez que las expone a riesgos innecesarios.
Para comprender y mitigar mejor estos riesgos, Trend Micro recomienda que las organizaciones:
- Desarrollen programas rigurosos de descubrimiento y gestión de activos
- Siempre que sea posible, voten por los proveedores más fiables
- Lleven a cabo evaluaciones de riesgos que vayan más allá del Patch Tuesday, por ejemplo, supervisando las revisiones de los parches y observando de cerca los cambios en el panorama de amenazas.
*ZDI es el mayor programa de recompensas por errores agnósticos de proveedores del mundo, responsable del descubrimiento de casi el 64% de todas las vulnerabilidades reveladas en 2021.
