He estado pensando en esto últimamente. ¿Son la misma cosa? ¿O es que este último tiene mucho más que solo la gestión de parches?
Para descubrir las diferencias, veamos primero qué hacen realmente estos tipos de administración.
Gestión de parches
La administración de parches incluye la planificación, adquisición, prueba e instalación de cambios en un software. Este puede ser cualquier tipo de software: sistemas operativos, controladores, aplicaciones o firmware en dispositivos. Un parche no se instala necesariamente para corregir una vulnerabilidad, pero puede estarlo. Muchas veces se proporciona para corregir errores o para actualizar un software a la versión más reciente. En organizaciones de tamaño mediano o grande, lugares donde normalmente tiene una administración de parches, existen soluciones de software especiales en uso para implementar parches en una gran cantidad de sistemas. Para dar un ejemplo: WSUS es un software de este tipo.
Gestión de vulnerabilidades
Después de wikipedia la administración de vulnerabilidades es:
la "práctica cíclica de identificar, clasificar, remediar y mitigar vulnerabilidades", particularmente en software.
Quiero agregar, que las vulnerabilidades no solo se encuentran en el software, sino que también pueden estar presentes en el hardware e incluso en procesos o cosas que están más relacionadas con "el mundo físico", como una puerta (por ejemplo, una cerradura débil) O las ventanas de tu oficina. Pero una gestión de vulnerabilidad típica no se ocupará de estas cosas, aunque pueda. Esto difiere de una organización a otra.
Consulte también la siguiente definición en ISO 27000:
vulnerabilidad.1/strong>
debilidad de un activo o control que puede ser explotado por una o más amenazas
Las vulnerabilidades en el software a menudo se eliminan mediante la instalación de un parche. Es por eso que algunas personas dicen que la administración de vulnerabilidades es parte de la administración de parches. No lo diría, y he aquí por qué: a veces hay escenarios, donde tienes que operar sistemas, que tienen vulnerabilidades que no se pueden arreglar. Por ejemplo, tiene un cliente que quiere que ejecute un servidor con un sistema operativo muy antiguo. Si la administración piensa que este cliente es importante, a veces no tiene más remedio que aceptar la presencia de estas vulnerabilidades y es posible que no pueda parchearlas. Obviamente, tiene que instalar otros controles para asegurar este servidor de alguna manera. Esto sería parte de "gestionar" una vulnerabilidad. (Un ejemplo aún más simple sería: a veces no hay un parche).
Conclusión
El parche y la administración de vulnerabilidades suenan igual pero son diferentes. La administración de parches se ocupa de los parches, actualizaciones y correcciones de software que deben instalarse por varias razones diferentes. El despliegue de estos parches debe planearse de antemano y usted debe saber qué máquinas necesitan un parche a qué hora. (Si opera varios miles de PC de escritorio, esta tarea es mucho más difícil de lo que parece).
La gestión de vulnerabilidades solo se ocupa de los problemas de seguridad (y, a veces, de seguridad) de (en su mayoría) software. La mayoría de las veces, estos problemas se pueden resolver con un parche, pero ciertamente no siempre. Las vulnerabilidades pueden estar presentes en todo tipo de sistemas y pueden eliminarse con muchas estrategias diferentes. Los administradores pueden cambiar las políticas de firewall, la configuración de la red, comprar hardware nuevo, capacitar a los empleados, etc. Solucionar una vulnerabilidad con un parche de forma indefinida es casi siempre una solución muy buena, pero puede que no siempre sea posible.
Se superponen mucho, pero definitivamente no son lo mismo.
Considero que la administración de vulnerabilidades es una actividad mucho más importante, y los parches como una de las posibles actividades para administrar las vulnerabilidades. En este sentido, la administración de vulnerabilidades es mucho más que parches (o administración de parches). Más a menudo, esto es administrado por profesionales de la seguridad. A menudo vemos vulnerabilidades que no están cubiertas por los parches disponibles.
Idealmente, los parches como una actividad deben priorizarse en función de las vulnerabilidades que corrigen los parches. Sin embargo, en el nivel más básico de madurez, tiende a ser una actividad independiente llevada a cabo por los administradores de TI. En tales casos, a veces vemos parches que no están relacionados con vulnerabilidades conocidas (probablemente reparen defectos no relacionados con la seguridad, o simplemente una actividad de rutina).
Cuando aplica parches, espera que los parches solucionen las vulnerabilidades conocidas en el producto del proveedor, pero confía en que el proveedor de software haya realizado la administración de vulnerabilidades de su propio producto.
Pero su administración de vulnerabilidades en general no es solo la suma de aplicar correcciones a los paquetes de software de su organización. Eso es parte de eso, pero no todo, y ni siquiera la mayoría.
La gestión de vulnerabilidades es una práctica continua de identificar, clasificar, cuantificar y mitigar las debilidades en los sistemas de TI de su organización. Los fallos de funcionamiento del software a menudo se aprovechan para obtener acceso a los sistemas, pero existen muchas formas de vulnerar los sistemas de TI de una organización sin explotar un error de software.
Lea otras preguntas en las etiquetas vulnerability patching vulnerability-management