Actualidad Info Actualidad

Zero Day Initiative solicita a los proveedores que mejoren su política de divulgación

Trend Micro advierte del fuerte descenso en la calidad de los parches de seguridad

Redacción Interempresas20/09/2022
273

El gigante de ciberseguridad Trend Micro Incorporated advierte del creciente número de parches incompletos o defectuosos que podría estar costando a las organizaciones más de 400.000 dólares por actualización.

El equipo de Zero Day Initiative (ZDI)* de Trend Micro ha revelado los cambios de política diseñados para hacer frente a un descenso significativo tanto de la calidad de los parches como en la comunicación de los proveedores con los clientes.

Brian Gorenc, director senior de investigación de vulnerabilidades y jefe de ZDI, comparte su punto de vista: "ZDI ha revelado más de diez mil vulnerabilidades a los proveedores desde 2005, pero nunca hemos estado más preocupados por el estado de los parches de seguridad en el sector. Los proveedores que publican parches inadecuados con avisos confusos les están costando a sus clientes mucho tiempo y dinero, y añaden un riesgo empresarial innecesario”.

ZDI ha identificado tres problemas principales derivados de la publicación de parches defectuosos o incompletos por parte de los proveedores:

  • Debido a las prácticas defectuosas de los proveedores, las empresas ya no tienen una visión clara del verdadero riesgo para sus redes.
  • Debido a las actualizaciones incompletas y defectuosas, las empresas dedican más tiempo y dinero en parchear lo que ya han parcheado.
  • Debido a la falsa creencia de que se ha producido la corrección o una reparación, un parche fallido supone un riesgo mayor que si no se aplica ningún parche.
ZDI está cambiando su política de divulgación de parches ineficaces en un intento de impulsar mejoras en todo el sector...

ZDI está cambiando su política de divulgación de parches ineficaces en un intento de impulsar mejoras en todo el sector.

Estos escenarios multiplican efectivamente el coste de la aplicación de parches porque se requerirán actualizaciones correctivas adicionales para remediar una sola vulnerabilidad, lo que supone un desperdicio de recursos empresariales y un riesgo añadido.

Además, la creciente reticencia de los proveedores a la hora de ofrecer información fidedigna sobre los parches en un lenguaje sencillo hace que los defensores de la red no puedan calibrar con precisión su exposición al riesgo.

Por ello, ZDI está cambiando su política de divulgación de parches ineficaces en un intento de impulsar mejoras en todo el sector. A partir de ahora, el plazo estándar de 120 días se reducirá para los fallos que se cree que son el resultado de un parche de seguridad omitido, de la siguiente manera:

  • 30 días para los casos más críticos en los que se espera explotación.
  • 60 días para los fallos de gravedad crítica y alta en los que el parche ofrece algunas protecciones.
  • 90 días para otros casos de gravedad en los que no se espera una explotación inminente.

Incluso cuando los parches están bien diseñados, pueden aumentar involuntariamente el riesgo al alertar a los actores de amenazas sobre la vulnerabilidad subyacente. En pocas organizaciones el tiempo de aplicación de los parches es más rápido que el tiempo de explotación. Cuando los parches están incompletos o son defectuosos, el riesgo de peligro se multiplica.

Aunque los costes de los parches difieren entre las empresas, Trend Micro ha calculado el coste de los parches defectuosos con la siguiente fórmula: Costes totales = f (T, HR, S, PF), donde T es el tiempo dedicado a la gestión de parches, HR es el coste de los recursos humanos necesarios para los especialistas en gestión de parches, S es el alcance que define el número de aplicaciones que hay que parchear, y PF es la frecuencia de los parches, que puede ser cada 2-3 semanas para algunas aplicaciones.

No es extraño que los costes de los parches en las empresas medianas y grandes superen las seis cifras cada mes. Independientemente de la fórmula utilizada para calcular los gastos en parches, la aplicación de múltiples actualizaciones para la misma vulnerabilidad cuesta a las empresas tiempo y dinero reales, a la vez que las expone a riesgos innecesarios.

Para comprender y mitigar mejor estos riesgos, Trend Micro recomienda que las organizaciones:

  • Desarrollen programas rigurosos de descubrimiento y gestión de activos.
  • Siempre que sea posible, voten por los proveedores más fiables.
  • Lleven a cabo evaluaciones de riesgos que vayan más allá del Patch Tuesday, por ejemplo, supervisando las revisiones de los parches y observando de cerca los cambios en el panorama de amenazas.

*ZDI es el mayor programa de recompensas por errores agnósticos de proveedores del mundo, responsable del descubrimiento de casi el 64% de todas las vulnerabilidades reveladas en 2021.

Haz clic aquí para leer más sobre los cambios en la política de ZDI: https://www.zerodayinitiative.com/blog/2022/8/11/new-disclosure-timelines-for-bugs-from-faulty-patches

Comentarios al artículo/noticia

Nuevo comentario

Identificarse | Registrarse 

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos