Jamf Blog
Diciembre 7, 2022 por Hannah Hamilton

Qué hacer si (cuando) se produce una vulnerabilidad de seguridad

Jamf puede ayudarle a remediar las vulnerabilidades de seguridad en el futuro, y a detenerlas antes de que se conviertan en exploits. Aprenda cómo en el blog.

Por muy diligente que sea a la hora de mantener el software actualizado, los dispositivos en cumplimiento o las redes bloqueadas, experimentará una vulnerabilidad de seguridad. Tome como ejemplo el problema de acceso root de macOS High Sierra 2017. Se reforzaron cuatro cosas:

  1. Ningún sistema operativo es inmune a los desafíos de seguridad.
  2. Los proveedores de sistemas operativos y/o software deben ser rápidos a la hora de abordar las vulnerabilidades de seguridad y publicar actualizaciones.
  3. La administración de dispositivos y, en concreto, la gestión de parches, ya no son meros accesorios.
  4. Los foros de la comunidad, como Jamf Nation y Slack, proporcionan información instantánea y valiosa sobre cómo resolver los problemas

La vulnerabilidad de seguridad de High Sierra permitía que un usuario o atacante accediera a un dispositivo Mac con los ajustes predeterminados sin contraseña, siempre y cuando el atacante tuviera acceso físico al dispositivo. Este problema también permitía que los usuarios comunes que ya habían iniciado sesión en un dispositivo obtuvieran privilegios elevados en las Preferencias del Sistema, acceder a través de un script y, lo que es más importante, en la Ventana de Inicio de Sesión.

En menos de 24 horas, Apple publicó una actualización de seguridad para High Sierra (HT208315) y la envió a todas las computadoras aplicables, actualizando automáticamente los dispositivos.

En este caso, Apple proporcionó una respuesta rápida en 24 horas, pero esto no siempre será posible dependiendo de la complejidad de la vulnerabilidad y de la ubicación de su sistema. Las organizaciones pueden tomar medidas para remediar las vulnerabilidades de seguridad tanto antes de que se aplique una actualización global como cuando sea necesaria la interacción manual para remediar el problema.

Respuesta a las vulnerabilidades de seguridad

La guía para el manejo de incidentes de seguridad informática del NIST enumera estas cuatro etapas del ciclo vital de respuesta a incidentes:

Preparación

Esta etapa suele sentar las bases de cómo se desarrollará su respuesta al incidente. Al tener procedimientos establecidos, usted limita la búsqueda de recursos y acciones mientras los datos de su empresa están activamente en peligro. En esta fase, su empresa debe asegurarse de que cuenta con el personal adecuado para manejar los incidentes, incluyendo las personas con conocimientos técnicos en redes, administración de servidores, seguridad, etc. La administración también debe estar preparada para coordinar la respuesta y servir de enlace con los interesados pertinentes. Los equipos de trabajo deben conocer bien los ciberataques y los marcos de ataque, tener un buen plan de comunicación y una estrategia de respuesta.

Detección y análisis

La clave para detectar amenazas es comprender la actividad basal de su red. Los marcos de referencia como CIS Benchmarks proporcionan una guía sobre cómo configurar su sistema. Al utilizar el software de administración de la información y eventos de seguridad (SIEM), supervisará su red y le alertará de las actividades sospechosas. Los registros generados dan una idea de la actividad de su red y le permiten detectar anomalías.

Una vez detectado un incidente, el equipo de respuesta a incidentes debe analizarlo y validarlo siguiendo un proceso predefinido. Este análisis debe determinar el alcance, el origen y el método del incidente. Este proceso debe estar bien documentado para informar de los siguientes pasos.

Contención, erradicación y recuperación

Hay que contener los incidentes y, al mismo tiempo, preservar las pruebas que ayuden a identificar el origen y el método del ataque, si es posible. Por ejemplo, si un dispositivo está siendo atacado a través de la red, se puede aislar de la red pero mantenerlo en funcionamiento para su posterior análisis. En el mejor de los casos, se puede recopilar información sobre el origen del ataque.

Tras la contención, debe mitigarse la amenaza, ya sea eliminando el malware, deshabilitando las cuentas violadas, parchando las vulnerabilidades o restaurando los sistemas a partir de copias de seguridad limpias.

Actividad posterior al incidente

Una vez remediado un incidente, su organización debe dedicar tiempo a analizar cómo se manejó para mejorar el proceso en el futuro. Dependiendo de cómo se haya producido el incidente, los equipos deben desarrollar políticas y procedimientos para prevenir o descubrir vulnerabilidades antes de que se conviertan en exploits activos. Esto podría implicar invertir en un SIEM o en capacitación adicional a los empleados, iniciar o ampliar las prácticas de caza de amenazas, o ampliar el alcance de las evaluaciones de riesgos ya existentes.

MDM: Proactiva, no reactiva

Con una solución de administración de dispositivos móviles (MDM), los administradores tienen el poder de enviar soluciones a sus dispositivos before cuando el desarrollador parche una vulnerabilidad. Por ejemplo, si una app de su catálogo de autoservicio avisa de un posible problema, puede denegar rápidamente el acceso de los usuarios a la app hasta que se resuelva el problema. En un dispositivo Mac administrado, una MDM como Jamf Pro utiliza un binario además de la MDM, lo que le proporciona las siguientes posibilidades:

  1. La capacidad de escribir scripts e implementarlos mediante políticas para abordar ajustes/reparaciones provisionales mientras espera una reparación de un proveedor de software.
  2. Notificaciones de parches para saber cuándo emite el proveedor un parche de terceros.
  3. Políticas de parches para distribuir automáticamente el parche a las computadoras que lo necesiten para una remediación rápida.
  4. La capacidad de mejorar o actualizar (cuando un sistema operativo o un proveedor de software publique una actualización o mejora). Tanto si la aplicación de parches al software crítico se hace mediante un binario robusto como mediante un comando MDM optimizado, los proveedores como Jamf facultan al departamento de IT para que envíe actualizaciones importantes inmediatamente a todos los usuarios finales y cierre las vulnerabilidades de seguridad antes de que se vea comprometido un sistema.

Una solución MDM le da la capacidad de reaccionar ante las vulnerabilidades de los sistemas recién descubiertas. Una MDM en tándem con la seguridad de las terminales y una solución de administración de identidades y accesos (IAM) como Jamf Connect mejora su postura de seguridad al utilizarlo para ser proactive. He aquí algunas características que esta combinación proporciona para proteger sus dispositivos antes de que les ocurra un incidente:

  • Administración de la identidad: El uso de SSO con credenciales de proveedores de identidad en la nube simplifica el proceso de autenticación de usuarios y reduce la probabilidad de que las credenciales se vean comprometidas.
  • Zero Trust Network Access (acceso a la red de confianza cero, ZTNA): La ZTNA restringe inflexiblemente el acceso a los recursos de la empresa a menos que el usuario demuestre con éxito su identidad.
  • Seguridad de terminales: Los dispositivos de los usuarios se supervisan de forma constante y discreta en busca de malware para una detección más rápida.
  • Análisis: La supervisión de las terminales en busca de malware también proporciona análisis de comportamiento para evitar que las vulnerabilidades se conviertan en exploits.
  • Filtrado de contenidos: Restringir la accesibilidad a los sitios de riesgo detiene el malware antes de que llegue a estar en el radar del usuario.
  • Visibilidad y cumplimiento: Las MDM le dan la capacidad de mantener los dispositivos actualizados con los últimos parches de seguridad y sistemas operativos, manteniéndolos en observancia y lo más seguros posible.

Apple dio una respuesta puntual y los administradores pudieron ver su trabajo en tiempo real. Y, aunque Apple respondió con rapidez, muchas organizaciones preferirían no esperar a que otro proveedor parchara vulnerabilidades importantes. Gracias a comunidades como Jamf Nation y Slack, los administradores de IT suelen tener los conocimientos y, con la plataforma Jamf, la capacidad total de implementar soluciones y los últimos parches rápidamente, una vez que los desarrolladores los han implementado.

Jamf simplifica su proceso de respuesta a incidentes.

Photo of Hannah Hamilton
Hannah Hamilton
Jamf
Hannah Hamilton, Copywriter.
Suscríbase al blog de Jamf

Acceda a las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf recibidas directamente en su bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.