Parches no resuelven el problema de los ataques de día cero en tiempo real para los que no hay defensa disponible

 

NOTIPRESS.- Los sistemas de planificación de recursos empresariales (ERP, por sus siglas en inglés) son sistemas de información gerenciales los cuales integran y manejan los negocios asociados con las operaciones de producción. Asimismo, ayudan a manejar los aspectos de distribución de una compañía en la producción de bienes o servicios. Teniendo en cuenta que los sistemas ERP almacenan gran parte de los datos financieros y de clientes más importantes de una empresa, inquieta la frecuencia con la que se descuida la seguridad de estos sistemas.

 

Según Alejandro González, country manager de México de Rimini Street, esto ocurre por muchas razones, incluyendo la desconexión organizacional entre los diferentes equipos responsables de la seguridad y las aplicaciones ERP. En un comunicado enviado a NotiPress explica, los especialistas en seguridad tienden a centrarse en sistemas y controles específicos de seguridad, delegando la responsabilidad del entorno ERP al equipo de aplicaciones.

 

En este sentido, una encuesta realizada a 504 CIOs y CFOs por Tanium, empresa privada de gestión de sistemas y seguridad cibernética, indicó, el 81% de sus encuestados admitió, se abstuvieron de implementar un parche de seguridad importante debido a la preocupación de que interrumpiría las operaciones comerciales. La suposición común, pero a menudo peligrosa, según González, es que las aplicaciones, las bases de datos y el middleware son seguros siempre y cuando estén completamente parcheados.

 

Depender de los proveedores de software para remediar las vulnerabilidades de manera oportuna puede ser peligroso para la salud de una organización. Los parches no resuelven el problema de los ataques de día cero en tiempo real para los cuales no hay defensa disponible. En la mayoría de los casos, la vulnerabilidad dura mucho más allá del día cero porque pueden pasar meses o años para que se publique un parche y para que las empresas lo implementen.

 

Mantenerse al día con los parches cuando se lanzan puede ser costoso, lento y perturbador; como cualquier actualización de software, un parche de seguridad tiene el potencial de romper personalizaciones e integraciones importantes. El parcheo de vulnerabilidades debería ser parte de una estrategia mucho más amplia para solidificar sus defensas en términos de personas y procesos, así como de tecnología. La seguridad puede fallar en cualquier nivel y debe reforzarse en todos los niveles, indica el country manager de Rimini Street.

 

“En mi experiencia, Java ha demostrado ser un eslabón débil en la seguridad de las aplicaciones y la mayoría de las aplicaciones de Oracle están escritas en Java”, señala González. “Pero los problemas no se limitan a Oracle o Java. Uno de mis puntos principales es que la aplicación de parches de seguridad de los proveedores es insuficiente como estrategia de seguridad cuando se consideran las vulnerabilidades desconocidas que se pueden explotar”.

 

Solucionar rápida y completamente las vulnerabilidades es un desafío para los principales proveedores. Cuando los investigadores de seguridad informan o identifican una vulnerabilidad, a menudo el proveedor tarda meses en confirmar el problema. Además de trabajar en diseñar una estrategia para abordarlo y desarrollar y distribuir código nuevo.

 

Por otra parte, los parches pueden tardar años en desarrollarse: una actualización de parche crítico (CPU) de Oracle de abril de 2019 abordó una falla presente en muchos productos de Oracle informada en 2016. Además, una vez lanzados, estos parches no siempre solucionan el problema; una CPU de 2018 que se suponía debía corregir una vulnerabilidad crítica en el middleware WebLogic basado en Java de Oracle (CVE-2018-2628) fue seguida rápidamente por informes de que era posible darle la vuelta a la solución.

 

Algunas categorías de vulnerabilidades pueden persistir durante años; por ejemplo, los dos casos anteriormente mencionados implican una vulnerabilidad en la forma en que Java serializa y deserializa objetos. Si bien los desarrolladores del núcleo de Java trabajan para solucionar una falla arquitectónica que se remonta a los primeros días del lenguaje, han seguido surgiendo maneras de explotar la deserialización.

 

Para proteger la seguridad de los sistemas ERP, González recomienda un enfoque con cinco aristas, donde la primera es entender el entorno. “Es muy importante comprender y fortalecer tu entorno. Si realizas un inventario minucioso, es probable que encuentres software innecesario expuesto donde los piratas informáticos pueden explotarlo”, explica. Asimismo, la segunda arista es fortalecer y administrar la configuración, seguida de supervisar la actividad de la cuenta privilegiada.

 

Asimismo, González recomienda asegurar el nivel web y otra infraestructura de aplicación, así como la base de datos. “Además de asesorarte sobre la estrategia, el equipo de seguridad de Rimini Street puede recomendar defensas de software específicas contra ataques de día cero. Por ejemplo, Rimini Street Advanced Database Security y Rimini Street Advanced Application y Middleware Security”, ejemplifica.

 

Ningún sistema de ERP está exento de sufrir amenazas o ataques cibernéticos, por tanto, abordar una estrategia de defensa de varios niveles es necesario. Esto para bloquear los ataques en cada oportunidad, incluso si el código central no ha sido parchado.