Algunas veces los proveedores anuncian la actualización del software para parchar alguna vulnerabilidad descubierta en alguna característica o servicio que no está habilitado en su sistema. ¿Se recomienda actualizar su software aunque teóricamente no te afecta?
Esta es una pregunta de estilo de evaluación de riesgos y modelos de amenaza, en lugar de un sí o un no.
¿Desea aceptar el riesgo de no parchar el servicio, que podría explotarse en el futuro? Puede ser que alguien lo ejecute más adelante. O no acepta el riesgo de actualizar su sistema operativo / software que podría causar efectos adversos en la ejecución de los servicios.
Solo su situación individual podrá responderlas y, a menudo, habrá diferentes respuestas según el panorama de amenazas y la importancia del servidor / aplicación en el que esté realizando la evaluación.
¡La respuesta corta es 'sí' para la mayoría de las personas!
Esto se debe a que a menudo es difícil aislar las funciones o los servicios tan bien como le gustaría o necesitaría, y también requiere mucho tiempo para registrar y administrar el código o los servicios no parcheados que podría ser utilizado en un escenario futuro. La aplicación de parches incluso a las funciones o servicios no utilizados evita el riesgo de "olvidar" o administrar incorrectamente los parches y las actualizaciones en la arquitectura futura o los cambios de casos de uso.
Sin embargo, como señala ISMSDEV, la respuesta más precisa es que depende de su evaluación de riesgos. Todo el trabajo de corrección, como la aplicación de parches y la actualización, debe administrarse como parte de un proceso de administración de riesgos, y esa es la única forma efectiva de ganar en la ecuación de riesgo / costo / beneficio (¡a menos que tenga recursos de seguridad sin límite!) Si decide no actualizar la actualización luego, lo menos que debe hacer es registrar la decisión, comprender los riesgos que se derivan de eso (cómo gestionar los cambios de casos de uso en el futuro, etc.) y volver a evaluar en función de los nuevos riesgos introducidos al no aplicar parches ni actualizar.
En resumen, su proceso continuo de evaluación de riesgos debe responder esta pregunta en cada caso.
Ambas respuestas enumeradas son correctas. Como regla general, incluso si no se utiliza un servicio, parchear es una buena idea ya que ayuda a reducir o eliminar una vulnerabilidad. A menos que esté en un entorno muy bien regulado, es difícil decirlo a ciencia cierta "no utilizamos ese servicio y nunca lo haremos". Las cosas cambian y tener que investigar si actualizar ese servicio o no, aunque debe ser parte de ese lanzamiento, lleva tiempo y puede que no se haga. Al parchear automáticamente eso, evita que se pierda ese paso y también se lo parchea en caso de que accidentalmente o maliciosamente se active.
Dicho esto, la respuesta de ISMSDEV también es válida. Todavía tengo que trabajar para una empresa que tiene recursos ilimitados. Todos estamos ocupados y el mantenimiento de servicios no utilizados le quita tiempo al trabajo de producción real. Si se encuentra en un entorno donde se deben mantener estrictos controles sobre los cambios, parchear un servicio no utilizado hará un esfuerzo para validar que el cambio no afecte a otra cosa. Eso causa gastos y demoras en la validación de algo que no se usa, lo que podría considerarse un desperdicio de dinero a menos que pueda demostrar un rendimiento de ese gasto.
¿Dónde deja eso esta respuesta? La pregunta no abordó esta pregunta más amplia: ¿qué tipo de entorno? Si se trata de un montón de escritorios corporativos, la respuesta es probablemente "sí". Si se trata de servidores, dispositivos de fabricación u otros dispositivos en los que la condición y la confiabilidad son críticas, entonces puede tener más sentido administrarlos más.
Lea otras preguntas en las etiquetas vulnerability patching known-vulnerabilities incident-response vulnerability-management