¿La tecnología de la información aumentó o disminuyó la seguridad con la introducción de las funciones de actualización automática?

Las actualizaciones automáticas mejoraron en gran medida la seguridad al corregir cualquier vulnerabilidad que no sea de día cero.

La mayoría de las vulnerabilidades solo son conocidas por el público en general después de que se publica un parche para este. Hace años, cuando las actualizaciones automáticas no eran la norma, los hackers de sombrero negro utilizaban para revertir las actualizaciones de seguridad, descubrían qué vulnerabilidades solucionaban, escribían vulnerabilidades y las distribuían entre los usuarios objetivo que no se molestaban en instalar el actualizar. Eso nos dio epidemias como Win32.Sasser que se propagó a través de una vulnerabilidad que ya estaba parchada cuando apareció el gusano, pero muchas personas no tenían el parche instalado.

Pero hoy en día, el lanzamiento de una actualización de seguridad significa que en pocas horas ya nadie será vulnerable. Simplemente no es tiempo suficiente para crear un exploit y distribuirlo.

La alta frecuencia de parches también significa que las personas que buscan vulnerabilidades de día cero (lo que significa: encontrar vulnerabilidades por su cuenta antes de que lo hagan los desarrolladores) apuntan a un objetivo móvil. Una vulnerabilidad podría solucionarse incluso cuando todavía están trabajando en su vulnerabilidad (a veces incluso sin intención).

Esta es una de esas preguntas que fomenta el debate más de lo que permite una respuesta concisa. Como reconoces en tu pregunta, existen argumentos para ambos lados, pero es abrumadoramente evidente que los profesionales de TI prefieren las actualizaciones automáticas. ¿Significa que su computadora puede tener constantemente alguna vulnerabilidad? Absolutamente. Usted confía en los desarrolladores de una aplicación que auditan a fondo cada cambio que realizan en un programa o sistema operativo.

¿Las actualizaciones automáticas son ridículas en algún nivel? Absolutamente. La aplicación del sintonizador de mi teléfono no necesita actualizaciones constantes. ¿Pero para navegadores web, sistemas operativos y software de servidor como Apache?

Soy de la opinión popular de que preferiría tener un número incalculable de vulnerabilidades desconocidas en mi sistema durante un período de tiempo relativamente infinitesimal a una vulnerabilidad que cualquier script-kiddy pueda explotar desde una consola metasploit. Y si eso significa una batalla constante entre desarrolladores y hackers, sigo prefiriendo el enfoque ofensivo sobre el enfoque defensivo.

En seguridad informática, los ataques dinámicos pueden y siempre tendrán éxito contra las defensas estáticas. Además de todo, como la facilidad de uso y la simplificación del usuario, las actualizaciones automáticas proporcionan cierto nivel de dinamismo.

Creo que este es un tema de discusión muy subjetivo. Lo importante a tener en cuenta aquí es que las características como la actualización automática se diseñaron teniendo en cuenta la conveniencia del usuario / administrador del sistema (Imagine acceder a cada sistema en su lugar de trabajo para instalar actualizaciones) y cada vez que agregue un poco de comodidad a un El sistema de la superficie de ataque se magnifica automáticamente.

Las actualizaciones (Manual / Automático) pueden parchar vulnerabilidades antiguas pero al mismo tiempo existe el riesgo de que se introduzcan nuevas en el sistema. El mejor ejemplo que se me ocurre en los últimos tiempos es Heartbleed. Toda la versión de OpenSSL anterior a 1.0.1 no se vio afectada por la vulnerabilidad, ya que la función de latido se introdujo en la versión 1.0.1. La exageración en torno a Heartbleed nos puso a los consultores en una situación difícil, ya que les habíamos dicho a nuestros clientes que mantuvieran sus sistemas actualizados.

El hecho es que en los sistemas heterogéneos de hoy en día donde parte del código que se ejecuta en su PC / servidor / teléfono está cambiando a diario, todo se reduce al nivel de confianza que tiene sobre los desarrolladores de aplicaciones y la compensación. controles que podría haber implementado (como parte de su política de mitigación de riesgos empresariales).