Cómo abordar la gestión de revisiones con confianza cero

Para algunos profesionales de la seguridad, la gestión de revisiones se puede reducir al popular eslogan de Nike: Just Do It (Simplemente, hazlo). Pero como sabe cualquier persona que haya gestionado alguna vez una red, la gestión de revisiones no es tan sencilla como dice esta pegadiza frase. Esto no quiere decir que no haya muchos casos en los que se puedan aplicar con facilidad revisiones para vulnerabilidades críticas y, de hecho, los hay, pero también hay razones válidas por las que un sistema o software no puede ser revisado. Es el caso de los sistemas de producción, que no se pueden desconectar en ningún momento (por ejemplo, en un entorno sanitario). También es así en el caso de los sistemas heredados con dependencias que se romperían si se aplica una revisión. Además, existen casos en los que la revisión en sí misma introduce vulnerabilidades adicionales que requieren que el equipo de TI revierta el nivel de la revisión. Teniendo todo esto en cuenta, se pueden atribuir numerosas infracciones de datos de gran importancia a la ausencia de revisiones. Equifax, WannaCry o el Servicio Nacional de Salud del Reino Unido: en todos estos incumplimientos, la causa subyacente es que los sistemas no tuvieran revisiones.

Cuando las organizaciones no reparan vulnerabilidades conocidas, están aceptando ponerse en riesgo, de forma clara o tácita. Que el riesgo exista no significa que deba mitigarse a toda costa,¹ pero sí significa que las personas responsables deben conocer o valorar y comunicar los riesgos asociados con la acción o la falta de ella. En el caso de los riesgos de ciberseguridad introducidos a causa de las decisiones de gestión de revisiones, la empresa debe ser consciente de que las vulnerabilidades en el sistema X podrían dar lugar a que una parte no autorizada acceda a Y de forma remota, a la pérdida de datos, la denegación de servicio, la introducción de malware, etc. Sin embargo, para evitar que esto suceda, los equipos de TI y seguridad necesitan mejores formas de abordar la administración de revisiones. Se notifican y se publican demasiadas vulnerabilidades como para que cualquier organización "simplemente lo haga". Y, con toda certeza, un método ad hoc o caso por caso de manejo de revisiones dará lugar a la pérdida de revisiones críticas, revisiones aplicadas incorrectamente, a la aceptación involuntaria de riesgos desconocidos, no anticipados o no intencionales, o a algo mucho peor.  

Las organizaciones necesitan un mejor enfoque. Como dice Dave Lewis, director de seguridad de la información asesor de Duo Security, "las empresas necesitan aprender a hacer revisiones mejor y de manera más inteligente, y a mejorar la calidad y facilidad de las revisiones". El "cómo" administrar un programa completo de gestión de revisiones queda fuera del alcance de esta entrada del blog, pero una cosa que definitivamente puede ayudar a los equipos de TI y de seguridad a hacerse con una estrategia de gestión de revisiones es la implementación de una red de confianza cero.

Los retos de las redes actuales

Las redes de las organizaciones ya no son las arquitecturas del pasado, locales, gestionadas internamente y planas. La introducción de la nube y los entornos virtuales, el uso de dispositivos propios y las redes distribuidas, entre otros factores, han cambiado fundamentalmente la forma en que deben operar los equipos de TI y seguridad. Dado que la gestión de revisiones y otras iniciativas de ciberseguridad pueden afectar a la disponibilidad y fiabilidad de las redes dinámicas y autoescalables de hoy en día, los equipos tecnológicos deben idear mejores formas de abordar el problema al que se enfrentan.

Desde que trabajo en el ámbito de la seguridad, los profesionales llevan gritando a los cuatro vientos: "¡No lo guardes todo en un solo lugar!". Sin embargo, lograr la segmentación de la red puede ser un proceso difícil, largo y costoso. Por ello, como sucede con la administración de revisiones, se ha dejado a un lado la segmentación (y la más reciente microsegmentación) en favor de tareas más sencillas. En realidad, cuando se utilizan procesos y tecnologías históricas o heredadas, la segmentación/microsegmentación puede hacer que hasta el gurú más experto en redes se sienta frustrado. Sin embargo, la segmentación puede ser una manera eficaz de gestionar mejor los sistemas esenciales para la empresa y las actualizaciones necesarias de dichos sistemas.

La confianza cero, a escena

La confianza cero invierte los conceptos de las redes tradicionales. En lugar del método "confiar pero verificar" para administrar el acceso a y en la red corporativa, la confianza cero dice que todo el tráfico, los usuarios, las aplicaciones, los hosts, lo que sea, debe verificarse a través de un conjunto de atributos inmutables que crean una "huella digital" antes de que se le permita comunicarse. Además, cuando se verifica una aplicación, proceso, usuario/etc., la confianza otorgada solo se aplica a esa conexión; cada vez que se inicia una comunicación en una red de confianza cero, se debe verificar de nuevo el "qué" que intenta conectarse para garantizar que ninguna amenaza haya interceptado la comunicación y que no se oculte dentro de los controles aprobados, o no haya dejado malware en el sistema.

¿Pero qué tiene que ver esto con la administración de revisiones? En una red de confianza cero, todos los sistemas (servidores, aplicaciones, bases de datos, hosts, etc.) se ejecutan en función del principio de acceso con privilegios mínimos. Solo los sistemas, aplicaciones, etc. que requieren acceso a otro sistema, aplicación, etc., se configuran automáticamente para enviar y recibir comunicaciones desde otras conexiones de red. Por el contrario, en una red tradicional, hasta el 98 % de esta consta de vías de comunicación no utilizadas y no administradas. Esto implica que tanto las aplicaciones y servicios legítimos como el tráfico malicioso pueden comunicarse a través de estas vías. Pero la confianza cero bloquea cualquier cosa no utilizada o innecesaria, lo que reduce el alcance de lo que puede comunicarse. Como resultado, también se reduce la probabilidad de una explotación que afecte a un sistema sin revisiones, porque hay menos recursos comunicándose con él.

Además, las huellas digitales creadas para una red de confianza cero incluyen los nombres de los productos o dispositivos, las versiones y los niveles de revisiones, lo que significa que los administradores de sistemas pueden recibir alertas sobre cualquier problema con la administración de revisiones y tomar la mejor decisión para la organización. Por ejemplo, los equipos de seguridad podrían implementar una política que diga: "Si la versión 2.3 de Apache no funciona en 2.3.35 o 2.5.17, alertar sobre una conexión". Con esa información, el equipo de seguridad puede tomar la decisión de segmentar la aplicación hasta que se solucione (lo que probablemente solo ocurriría en casos extremos) o aceptar el riesgo de no aplicar la revisión y explicar el motivo a la empresa.²

Las herramientas de administración de revisiones obviamente pueden ayudar a las organizaciones a mantenerse al tanto de lo que está sucediendo en todo su ecosistema diverso de redes, pero no pueden evitar que el software se comunique si el malware entra en el sistema antes de que se aplique o se desarrolle una revisión. Al aislar y contener los activos críticos en una red de confianza cero, las organizaciones pueden identificar una vulnerabilidad sin revisiones antes de que sea explotada. Además, la gestión de revisiones solo puede ayudar si existe la revisión correspondiente. En el caso de los ataques de día cero y otras situaciones no revisables, como las mencionadas al principio de este artículo, las organizaciones tienen que "diseñar los sistemas como si siempre hubiera un día cero y la revisión no llegara nunca", escribe Adrian Sanabria, fundador de Security Weekly Labs, en un artículo de blog sobre el exploit de Apache Struts. Las redes de confianza cero logran el fortalecimiento del sistema, independientemente de los niveles de revisión, y ofrecen a las organizaciones una manera más inteligente de mantenerse al tanto de las revisiones que podrían evitar que se conviertan en el próximo Equifax. La confianza cero proporciona el control detallado de un entorno de red distribuido que los equipos de seguridad anhelan, a la vez que permite a las empresas avanzar rápidamente sin introducir riesgos innecesarios o no gestionados.  

1. Según Kenna Security y Cyentia Institute, mientras que el 23 % de las vulnerabilidades publicadas llevaban un código de explotación asociado, menos del 2 % de ellas han sido explotadas arbitrariamente, lo que hace que la reparación tradicional sea muy ineficiente, costosa y prolongada.

2. Es importante señalar que, según el informe de Kenna/Cyentia "Prioritization to Prediction", predecir qué CVE notificadas se convertirán en vulnerabilidades es todo un desafío y seguirá planteando problemas, incluso en un entorno de confianza cero. Además, algunas CVE son explotadas antes de ser publicadas, disminuyendo con ello el efecto de cualquier tipo de corrección.