La importancia de los parches virtuales en las redes actuales

Hasta hace, aproximadamente, 7 años, el tiempo transcurrido desde que se detectaba una vulnerabilidad en un sistema operativo o aplicación, hasta que los cibercriminales creaban un malware o exploit que se aprovechara de esta,

era, en gran parte de las ocasiones, suficiente como para que a los fabricantes de dichos sistemas operativos y aplicaciones pudieran crear sus parches, actualizaciones, Service packs etc y actualizar a sus clientes con los mismos.

Pero hemos avanzado en todos los sentidos; tecnológicamente, más rápido que en otras áreas. Y esto ha supuesto, en paralelo, un avance de las técnicas de ataque, generación de malware y amenazas. Es destacable el aumento de la eficiencia en las técnicas de hacking, así como el aumento de la velocidad a la hora de explotar vulnerabilidades. La ciberdelincuencia se ha modernizado hasta tal punto que hoy en día la mayor parte de las amenazas son conocidas como de “día cero”.

Ahora, nos encontramos en la situación en la que se crean exploits de vulnerabilidades antes de que existan parches para cerrar esas vulnerabilidades. Y este es un problema grave que, a medida que pasan los meses, va cobrando más importancia, ya que, la mayor parte de las infecciones o ataques cursados se deben a que sistemas comprometidos han sufrido problemas a causa de la falta de actualizaciones que no llegan a tiempo.

Podríamos resumir los problemas relacionados con una inadecuada gestión de los parches, teniendo en cuenta estos puntos:

1. La velocidad de generación de exploits para vulnerabilidades detectadas es la misma, o incluso superior a la velocidad con la que los fabricantes de sistemas operativos y aplicaciones son capaces de generar sus actualizaciones para cerrar dichas vulnerabilidades.
2. A pesar de que una actualización se consiga lanzar antes de que el exploit pueda infectar/afectar una red, la descarga, despliegue e instalación de dichos parches actualizados en toda la red comprenden un tiempo más que suficiente para que el exploit pueda infectar a muchas o todas las máquinas.
3. Las empresas no están concienciadas de que la actualización de los sistemas es crítica para garantizar la integridad y la buena salud en las redes. Somos reactivos y hasta que no hemos sufrido un problema, no buscamos soluciones.

El primer caso “grave” y conocido surgió en octubre del 2008, cuando redes de todo el mundo fueron infectadas por Conficker o Worm_downad. Este gusano se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo.[]

Cuando ha infectado un sistema, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima.[ ]El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe.

Fue a partir de este momento en la que empresas infectadas se concienciaron y dieron cuenta de lo que supone estar actualizados y de la importancia de cambiar la mentalidad y ser prevenidos. Pero ¿cómo?.

El parche de Microsoft MS08-067, fue creada para cerrar la vulnerabilidad por la que Conficker podía entrar y aprovecharse de los sistemas, pero el este parche llegó tarde. Muchos clientes ya estaban infectados cuando fue publicado.

En aquel momento, Trend Micro, empezó a comercializar su solución de Plugin de IDF para OfficeScan. Este es un módulo que se integra dentro de la consola de gestión de OfficeScan, para conseguir detectar vulnerabilidades en las máquinas a nivel de sistema operativo y aplicación, y en base a los resultados, tiene la posibilidad de instalar un parche virtual en el sistema o no.

IDF (Intrusion Defense Firewall), cuenta con la inteligencia suficiente como para detectar en qué consiste una determinada vulnerabilidad e implantar en la máquina comprometida, una serie de restricciones y tareas capaces de cerrar esa vulnerabilidad. A través de escaneos periódicos, IDF chequeará las máquinas para revisar si sigue siendo necesario mantener los parches virtuales implantados o, si ya está la actualización conveniente instalada en la máquina, retirar dicho parche.

Clientes que a finales del 2008 y comienzos del 2009 habían adquirido ya IDF plugin para OfficeScan o clientes que estaban testeando la solución, vieron cómo estas soluciones evitaron que sus redes se infectaran por Conficker.

Casi al mismo tiempo que IDF comenzó a proteger a clientes de forma preventiva frente a vulnerabilidades que podrían ser explotadas, Trend Micro fue pionera en lanzar al mercado Deep Security. Esta solución, diseñada idealmente para la protección del entorno virtual y del datacenter, tiene una estructura modular. Y uno de los módulos más importantes es el de Deep Packet Inspection. Este plugin incluye las funcionalidades de control de aplicaciones, control de aplicaciones web y Host IPS/IDS. La parte de IPS/IDS, también es conocida como “Virtual Patching” o “Parcheo virtual” y es capaz de ejecutar escaneos recomendados para implantar, si es necesario, parches virtuales en servidores y/o PCs, tanto físicos como virtuales. Desde aquel momento hemos venido notando un incremento en las cifras de venta de Deep Security, ya que su acción no solo es importante desde el punto de vista de la seguridad, sino que es crítica para que una red pueda funcionar sin tener que parar sus sistemas.