3 formas de evitar la infección por malware en parches de software

El objetivo de un parche de software es eliminar una vulnerabilidad o corregir una falla en el software que se haya identificado después del lanzamiento del software, añadir nuevas funciones o mejorar el rendimiento. La instalación oportuna de nuevos parches es un importante paso de mantenimiento. Mantiene su sistema actualizado y estable, optimiza el rendimiento y mitiga la amenaza de una nueva infección por malware.

La aplicación oportuna de parches de software es absolutamente fundamental, aunque recientes estudios indican lo siguiente:

• 60% de los encuestados informaron que las filtraciones de datos se asociaban a vulnerabilidades para las que había un parche disponible, pero que no se había aplicado.
• 68% de los encuestados cree que las filtraciones de datos ocurren debido a una gestión de parches ejecutada de manera deficiente.

La abreviatura de “malicious software”, malware, es una aplicación escrita con la intención de causar daños en los sistemas, robar datos, obtener acceso no autorizado a una red o causar estragos en caso contrario. La infección por malware es una de las ciberamenazas más comunes que una empresa puede enfrentar. A menudo se emplea para robar datos para fines financieros, pero también se puede aplicar como arma en ataques orquestados a nivel de estado, como forma de protesta por parte de los hacktivistas o para comprobar la postura de seguridad de un sistema. Malware es un término colectivo y se refiere a una serie de variantes de software malicioso, como troyanos, gusanos o ransomware.

Los cibercriminales siempre están a la caza de fallas de ciberseguridad y puntos débiles en los sistemas operativos y aplicaciones populares de terceros. Una vez que un cibercriminal encuentra una vulnerabilidad, se concentran en esta con un exploit, un pequeño código que puede incrustarse en el malware. Si no se detiene, el malware puede robar su información sensible y personal, controlar su ordenador o inutilizarlo, y encriptar sus datos. Una vez que un criminal tiene el comando y control de su dispositivo, puede infectar otros puntos finales en la misma red. También puede pasar el malware a otros individuos al enviar de manera inadvertida un archivo infectado.

Esta es la razón por la cual es absolutamente fundamental que usted mantenga actualizado su sistema operativo y aplicaciones. Si existe una vulnerabilidad a encontrarse, puede apostar a que el intruso la encontrará.

Una empresa puede tener cientos, sino miles, de dispositivos y aplicaciones para parchar, muchos de los cuales están fuera del perímetro. Puede tomar bastante tiempo aplicar parches de forma manual y muchas veces, aplicar un parche puede dejar un dispositivo no disponible durante la aplicación del parche. Estas son algunas de las razones por la cual las empresas utilizan un sistema de gestión de parches.

Un sistema de gestión de parches en la nube puede ser un producto autónomo o parte de un paquete de ciberseguridad. Su función es gestionar múltiples parches de software de manera automática y mantener su infraestructura actualizada y protegida de amenazas. Suele ser el trabajo de un administrador de sistema (SA) configurar el sistema de conformidad con la política de seguridad, estructura y necesidades de la organización. Al seleccionar un sistema de gestión de parches, querrá buscar estas características importantes:

• Soporte para tantas aplicaciones como sea posible, incluidos los sistema operativos y aplicaciones de terceros específicas.
• Evaluaciones de vulnerabilidad integradas para identificar de forma adecuada las brechas de seguridad y priorizar el parchado en base a esto.
• Capacidad de programar parches y automatizar el proceso para minimizar el tiempo de inactividad planificado y simplificar sus flujos de trabajo
• Capacidad de almacenar parches, por ej., instalar nuevos parches en un entorno especial y marcar automáticamente los parches instalados según se aprueben después de un período de algunos días si todo se ejecuta correctamente.
• Capacidad de crear grupos personalizados de equipos en donde solo parches específicos deban aplicarse; estos grupos por lo general se disponen de acuerdo al departamento, sistema operativo utilizado, aplicaciones java en funcionamiento, etc.
• Una consola de gestión que proporciona al SA el estado de los parches, visibilidad de todos los equipos sin parchado, y el estado de cumplimiento de cada dispositivo (por ej., GDPR) y permitir al SA automáticamente corregir el problema.
• Un sistema que automáticamente reintenta aplicar parches que no pueden ejecutarse debido que los dispositivos no tienen conexión, como dispositivos móviles y portátiles; los parches deben aplicarse de inmediato cuando estos dispositivos vuelven a estar en línea
• Un sistema que proporciona al SA informes detallados y notificaciones, como parches faltantes, sistemas vulnerables, actualizaciones eliminadas, sistemas que requieran reinicio, etc. 
• Un sistema que automáticamente respalda el dispositivo antes de la aplicación de un parche para mejorar de forma proactiva la disponibilidad permitiendo una fácil recuperación en caso de que un parche deje al sistema inestable

La Evaluación de vulnerabilidad ayuda a identificar las debilidades de seguridad en su sistema operativo y aplicaciones con una herramienta de evaluación de vulnerabilidad que evalúa si su ordenador es susceptible a cualquier vulnerabilidad conocida, asigna niveles de severidad a tales vulnerabilidades y recomienda actualizaciones críticas para mantenerle a salvo. La evaluación de vulnerabilidad ayuda a priorizar parches en base a la criticalidad de la vulnerabilidad para cerrar las brechas de seguridad y reaccionar mejor a las vulnerabilidades aprovechables.

Estas capacidades enumeradas no son exhaustivas, pero le proporcionan un comienzo sólido a su empresa cuando se trata de seleccionar un sistema de gestión de parches. 

Todos hemos escuchado de la filtración de SolarWinds en donde el proveedor sin tener conocimiento de la situación envió parches infectados con malware a sus clientes. Este fue un ataque a la cadena de suministro del software. Si bien esto fue un evento inusual, es una clara demostración que un malware puede subsistir parches informáticos. Aplicar parches puede causar a los demás otros problemas más frecuentes también, como conflictos con el sistema. Un parche malicioso de sistema puede dejar el dispositivo inutilizable.

Estos son los tres pasos que su SA debe seguir para mitigar la probabilidad de instalar un parche infectado o maligno. Es importante comprender que incluso siguiendo estos tres pasos no se puede garantizar que un parche no esté infectado, pero este enfoque aún se recomienda como una de las mejores prácticas.

Probar. Usted nunca jamás debe implementar un parche en toda su infraestructura sin antes probarlo, ya que al hacerlo podría derrumbar todos sus sistemas. Por el contrario, asegúrese de probar parches en una cantidad limitada de dispositivos y tómese el tiempo para reunir información acera del parche.

Respaldar. Antes de aplicar cualquier parche, asegúrese de realizar un respaldo de imagen completo del dispositivo. Si algo sale mal, sencillamente puede volver a un estado funcional y mantener sus datos y sistemas a salvo. 

Invertir en antimalware de próxima generación. Asegúrese de usar un programa antimalware de próxima generación (o antivirus) que detecte y elimine aplicaciones maliciosas. Si bien el antimalware tradicional utiliza firmas para detectar malware, el antimalware de próxima generación utiliza detección basada en comportamiento y la heurística. La detección basada en comportamiento es una técnica más compleja y a menudo depende de la inteligencia artificial (AI) y del aprendizaje automático (ML). Requiere de una visión holística respecto de todos los procesos para determinar cuál podría ser una amenaza. Un programa que intenta obtener mayores privilegios, por ejemplo, podría indicar una amenaza.

Una vez instalado, el antimalware de próxima generación generalmente se ejecuta en segundo plano, proporcionando protección en tiempo real contra virus, troyanos, gusanos y otros malware. La mayoría de las soluciones antivirus cuentan con funciones de escaneo automático y manual. Los escaneos automáticos pueden inspeccionar archivos descargados, dispositivos de almacenamiento externo y archivos creados por instaladores de software. Los escaneos automáticos de todo el disco duro por lo general se realizan de manera programada, mientras que las capacidades de escaneo manual permiten a los usuarios escanear archivos específicos o todo el sistema siempre que lo consideren necesario.   

Acronis Cyber Protect ofrece funciones de administración de parches y evaluación de vulnerabilidades que cumplen todos los requerimientos discutidos anteriormente y proporcionan información detallada sobre los dispositivos y aplicaciones que se ejecutan en su red. Las vulnerabilidades se clasifican de acuerdo con una escala de gravedad interna y las actualizaciones necesarias se obtienen automáticamente y se implementan en diferentes grupos de diversas formas de conformidad con las políticas de protección correspondientes. Con evaluaciones de vulnerabilidad incorporadas, los escaneos regulares identifican equipos, sistemas y aplicaciones que suponen brechas de seguridad y requieren parches y actualizaciones. Estas pueden desplegarse fácilmente a petición o de acuerdo con un calendario, dependiendo de sus necesidades informáticas. Las evaluaciones de vulnerabilidad de Acronis Cyber Protect admiten equipos con Windows y Linux.

Acronis distribuye parches desde sus servidores en la nube en todo el mundo, pero también utiliza una tecnología de distribución de parches de igual a igual para evitar ralentizaciones durante la implementación de parches. La función de gestión de parches de Acronis Cyber Protect puede parchar puntos finales, que se encuentran ubicados al interior y exterior de la red corporativa y la funcionalidad de administración de parches a prueba de fallas se puede utilizar en escenarios únicos de restauración segura a partir de una copia de seguridad de disco completo.

 El malware puede estar en sus copias de seguridad, especialmente en copias de seguridad de todo el sistema. Esto ocurre cuando no existe un producto antimalware en el equipo respaldado o la solución antimalware implementada no pudo detectarlo. Acronis Cyber Protect escanea datos respaldados en Acronis Cloud, permitiendo una heurística más agreasiva, y una detección más potente, sin afectar el rendimiento de punto final. Una vez que el malware se identifica y elimina, su SA puede restaurar el equipo de un usuario desde una imagen de disco “limpia”, libre de malware. Acronis también parcha el sistema para obtener las últimas actualizaciones disponibles automáticamente, en base a la preferencia de SA, y evita nuevas epidemias de gusanos vivos. 

Las funciones de Acronis Cyber Protection incluyen:

• Aprobación automática de parches
• Implementación de un programa
• Implementación manual
• Reinicio flexible y opciones de ventana de mantenimiento
• Implementación por etapas
• Todas las actualizaciones de Windows incluido MS Office y aplicaciones Win10
• Soporte para gestión de parches de Microsoft y más de 200 aplicaciones de terceros en Windows