¿Qué tan importante es la administración de parches?

3

Problema

Estoy tratando de vender la idea de la administración de parches / actualizaciones organizacionales y la administración de antivirus a mis superiores. Hasta ahora, mi propuesta ha recibido dos respuestas:

  1. Aún no hemos tenido ningún problema (agregaría que conocemos )
  2. Simplemente no creemos que sea un riesgo tan grande.

Pregunta

¿Hay recursos disponibles que puedan ayudarme a vender esta idea?

Me han dicho que el 55-85% de todos los problemas relacionados con la seguridad se pueden resolver con la administración adecuada de antivirus y parches / actualizaciones, pero la persona que me informó no pudo justificar la reclamación. ¿Puede ser justificado?

Información adicional

1/5 de nuestras computadoras (las que están en el edificio) tienen la actualización de Windows activada de forma predeterminada y el antivirus instalado. 4/5 de nuestras computadoras están fuera de la empresa y los usuarios actualmente tienen control total sobre las actualizaciones de antivirus y de Windows (sé que esto es un problema, un paso a la vez).

    
pregunta James Hill 26.06.2013 - 19:47
fuente

3 respuestas

4

La reclamación se puede verificar comparando las tasas de explotación exitosas con (por ejemplo) las bases de datos Secunia, o verificando las últimas 100 advertencias de seguridad de Microsoft TechNet (la administración ama las fuentes de Microsoft :-)) o, por ejemplo, US-CERT .

Cada vez que se produce un exploit para algo que era conocido en el momento en que se produjo el exploit, es una vulnerabilidad que el parcheo hubiera evitado.

Se puede hacer una visualización muy efectiva al instalar Secunia Personal en cualquier computadora.

Casi seguramente (¡no te estoy engañando!) encontrarás varias vulnerabilidades:

  • que puede ser explotado por un correo electrónico hecho a mano. Eso es : cada correo que reciban podría contener la vulnerabilidad .
  • que puede ser explotado de forma remota. Eso es : conecte esa computadora portátil a la conexión WiFi del hotel y, a menudo, al ocupante de una sala cercana (en el caso de talleres en el extranjero, muy a menudo un colega o competidor) puede pwn su computadora portátil. Tal vez no . Pero podrían .
  • que puede ser explotado de forma remota en un servidor. Eso es : es posible que su sitio web ya no sea suyo . Si tiene un área privada, y tal vez un documento confidencial para la fuerza de ventas ... "¿Cómo le gustaría que un cracker filtrara esta información al mejor postor?".

Solo explíqueles en términos sencillos qué es exactamente una vulnerabilidad que puede permitir que un atacante remoto no autenticado ejecute código arbitrario en un sistema vulnerable para su negocio.

    
respondido por el LSerni 26.06.2013 - 20:30
fuente
2

La administración de parches es importante para resolver las vulnerabilidades de seguridad. Las vulnerabilidades conocidas se lanzan para muchas de estas vulnerabilidades, y los atacantes pueden usar estos agujeros para violar sus computadoras. En muchos casos, el antivirus nunca lo detectará.

El peligro es que los parches ya se han lanzado, lo que significa que los atacantes saben EXACTAMENTE qué es lo que está mal con una máquina no parcheada. No parchear es como dejar las llaves de la puerta principal debajo de la alfombra de bienvenida. Claro, es posible que no sepa que tiene un problema, pero ¿cómo sabría que tenía un problema?

Si desea confirmar los riesgos, hay un software llamado Metasploit , que se usa para este tipo de cosas. Contiene una gran biblioteca de exploits pre-construidos para aprovechar las vulnerabilidades publicadas. Tiene una versión gratuita muy robusta.

Tome una máquina representativa, ejecute los escáneres Metasploit para identificar una vulnerabilidad y ejecute un exploit. A ver si el AV lo atrapa o no. Lo más probable es que pueda explotar fácilmente una máquina con bastante rapidez. Un atacante podría conectarse a su red o descifrar el wifi y hacer lo mismo, o explotar un navegador desde un sitio web y usar Metasploit para hacer lo mismo usando una máquina como plataforma de lanzamiento para el resto.

Convencí exitosamente a un proveedor externo para que corrigiera sus máquinas Windows simplemente mostrándoles un video de YouTube de alguien que usa Metasploit para comprometer una máquina que ejecuta la misma versión de Windows que estaban usando.

La aplicación de parches es de bajo costo (posiblemente 'gratis') y puede reducir significativamente la posibilidad de compromiso. Este es un cálculo de riesgo obvio y cualquier resistencia que enfrente se basa en el miedo. Haga que tengan más miedo de NO parchearse que esconderse del problema.

    
respondido por el schroeder 26.06.2013 - 20:02
fuente
1

Le puedo decir que la gestión de parches ocupa un lugar destacado en la lista de todos los auditores de TI y que se verifica con bastante frecuencia. No parchear sus sistemas los hace vulnerables a las miradas indiscretas de los atacantes. Se requiere la aplicación de parches, pero también se debe probar antes de pasar a producción. Los únicos parches obligatorios que generalmente necesita hacer son los parches de seguridad. Independientemente de si el sistema solo es accesible a través de LAN o WAN (aunque WAN debe ser priorizada).

Ahora puedes decir "hey, ¿cuál es el riesgo? ¡No hemos tenido ningún problema como ese antes!". Bueno, en algunos países, si tiene una violación que filtró información personal y se demuestra que no tomó las medidas adecuadas para proteger su entorno (uno de ellos es la gestión de parches), su empresa puede ser legalmente responsable por la violación. En Europa, a partir del próximo año, la nueva legislación de protección de datos permitirá que sus superiores, que están a cargo de formular políticas sobre cómo almacenar esta información personal, puedan ser personalmente < responsable de esto

    
respondido por el Lucas Kauffman 26.06.2013 - 21:55
fuente

Lea otras preguntas en las etiquetas