Patch management (gestión de parches)

Un componente del ciclo de vida del desarrollo de software (SDLC, del inglés “Software Development Life Cycle”) es su mantenimiento, y las estrategias de patch management o gestión de parches se encargan de la forma en que se despliegan las actualizaciones y “hotfixes” entre una red de dispositivos. El control de versiones del software puede ser difícil de gestionar cuando varios desarrolladores lanzan actualizaciones con frecuencia, y estas actualizaciones se publican sistemáticamente cada mes. El proceso de gestión de parches de seguridad supone una sobrecarga considerable para el personal informático, pero es una parte necesaria del mantenimiento de los dispositivos para evitar conflictos, problemas de ciberseguridad, errores y otras vulnerabilidades en el software instalado. Existen diversas soluciones de gestión de parches que ayudan a automatizar el proceso y reducir la sobrecarga del personal informático.

La gestión de parches suele automatizarse mediante software externo, pero también es necesaria cierta intervención humana para determinar la frecuencia con la que se implementan las actualizaciones, quién supervisa el proceso y qué ocurre cuando hay que revertir los parches. El software de automatización ahorra tiempo al personal informático que debe revisar y probar los parches antes de instalarlos, pero las estrategias en torno a la forma en que se despliega el software siguen requiriendo la intervención humana.

El primer paso para el patch management es escanear los dispositivos en busca de software obsoleto. Los dispositivos pueden estar en la red local o conectados a la nube y controlados por la organización. Los dispositivos escaneados deben dar permiso al escáner para acceder al software en cuestión para identificar si está obsoleto. Si cualquier escáner puede acceder a la versión del software del dispositivo, puede tratarse de un problema de ciberseguridad. En algunos casos, el propio software puede sondear un servidor central para determinar si la versión actualmente instalada es la más reciente o si hay una actualización disponible.

Si un dispositivo contiene software obsoleto, el siguiente paso es cargar la actualización más reciente en el objetivo. Si el software sondea un servidor central, éste podría activar una descarga de las últimas actualizaciones y revisiones. La gestión de parches debe aplicar las actualizaciones y revisiones (“hotfixes”) adecuadas en el orden correcto. Si un usuario no ha ejecutado actualizaciones anteriores, la gestión de parches garantiza que se instalen todas las actualizaciones anteriores antes de aplicar la última.

Una estrategia de patch management consiste en enviar archivos a un servidor central en el que el software del desarrollador pueda sondear en busca de actualizaciones. Eso permitiría a los usuarios descargar manualmente los archivos en lugar de permitir que el software se actualice automáticamente. Algunos usuarios prefieren instalar manualmente los archivos en lugar de utilizar herramientas de automatización, por lo que los desarrolladores deben ofrecer a los usuarios esa opción.

Por último, el personal informático debe tener una forma de saber si los parches se instalaron correctamente. Una buena solución de gestión de parches de seguridad proporciona informes que pueden ser revisados por los desarrolladores u otro personal de TI para asegurarse de que la instalación se ha realizado correctamente. Este componente es crucial para el personal de TI interno que debe hacer un seguimiento de docenas de dispositivos en la red para asegurarse de que no son vulnerables a fallos y amenazas de ciberseguridad.

Para garantizar que el proceso de actualización se realice sin problemas en todos los dispositivos, los desarrolladores de software y las empresas que gestionan las actualizaciones y parches de seguridad deben crear una estrategia. La estrategia creada depende del entorno de la red y del tipo de dispositivos que deben ser parcheados. Los desarrolladores de software pueden poner el software a disposición del público, pero las actualizaciones deben gestionarse de forma que permitan a los usuarios actualizar libremente el software, aunque estén atrasados unas cuantas versiones. Las empresas deben crear una estrategia de gestión de parches que garantice que todos los usuarios dispongan de las últimas actualizaciones para proteger los activos corporativos y evitar la pérdida de datos.

Antes de idear una estrategia, también es importante comprender el SDLC que controla la forma en que los desarrolladores lanzan las actualizaciones. Los desarrolladores de software lanzan actualizaciones, pero las organizaciones deben comprobarlas con frecuencia. El software de gestión de parches puede hacer la mayor parte del trabajo para el personal informático, pero éste aún debe comprobar los informes para asegurarse de que las actualizaciones y parches de seguridad no han fallado.

Aquí presentamos algunas buenas prácticas comunes para diseñar una estrategia de gestión de parches:

• El personal informático y los desarrolladores de software deben comprender la importancia de la gestión de parches de seguridad. Cualquier software que deba actualizarse con frecuencia debe tener parches disponibles para su descarga, y el personal de TI debe utilizar herramientas de automatización para garantizar que el software se actualiza a medida que estos parches están disponibles. Cualquier vulnerabilidad encontrada en el software, ya sea por técnicos en pruebas de penetración (o “pen-testers”) o por hackers de “white hat”, debe ser parcheada inmediatamente.
• Las vulnerabilidades graves deben parchearse inmediatamente mediante hotfixes si el software está anticuado. Un ejemplo de la gravedad del software desactualizado fue el brote del ransomware WannaCry. Las versiones desfasadas de Windows permitieron que el ransomware se propagara a pesar de que Microsoft publicó actualizaciones para su vulnerabilidad SMB.
• Para las empresas, una herramienta de automatización puede ayudar a reducir los gastos generales de la gestión de parches. Algunos desarrolladores ofrecen versiones empresariales de sus aplicaciones, que cuentan con herramientas de automatización que pueden instalarse en un servidor central. Estas herramientas de automatización escanean los dispositivos en busca de software obsoleto y los actualizan cuando sea necesario.
• Pruebe las actualizaciones en los dispositivos antes de aplicar los parches. Los desarrolladores deben probar sus parches antes de desplegarlos al público, mientras que las empresas que envían actualizaciones a través de múltiples dispositivos deben probarlo en un dispositivo de prueba antes de actualizar automáticamente docenas de máquinas.

Si un desarrollador no ofrece una solución de automatización, existen varias herramientas que ayudan al personal informático a ocuparse de la gestión de parches de seguridad. Por lo general, estas herramientas están destinadas a las empresas, ya que los particulares pueden descargar las actualizaciones y parches de seguridad manualmente en casa. Varios desarrolladores de software ofrecen herramientas que se ejecutan en los equipos de los usuarios domésticos y que sondean un servidor central y descargan las actualizaciones automáticamente. El sistema operativo Windows 10 es un ejemplo de software que descarga y actualiza automáticamente sin interacción del usuario.

La siguiente lista contiene algunas herramientas de gestión de parches que pueden utilizarse para automatizar las actualizaciones:

1. SolarWinds Patch Manager

2. ManageEngine Patch Manager

3. Ivanti Shavlik

4. GFI LandGuard