December 11, 2014GF0S

Herramientas gratuitas para la administración de parches.

Este post habla sobre alternativas sin costo que ayudarán con la tarea de administración de parches. Está orientado principalmente a entornos pequeños de hasta ~300 endpoints. Comencemos ……

Sin excepción, todos los días se descubren nuevas vulnerabilidades que afectan a los sistemas operativos y a los aplicativos que residen en ellos. Para contar con un panorama general, se tienen datos que reflejan que en el año pasado se identificaron al menos 5,186 vulnerabilidades*, (en promedio 14 por día) de las cuales el 83% eran susceptibles a ser aprovechadas de manera remota.

Las consecuencias de aprovechar estas debilidades podría causar efectos no deseados y al mismo tiempo exponer la confidencialidad, integridad o disponibilidad de los datos; en términos más simples, el atacante podría lograr:

  • Un funcionamiento incorrecto del sistema operativo y las aplicaciones: reinicios continuos, “congelamiento” del sistema, evasión de controles y autenticaciones.
  • Instalación de software malicioso como spyware, adware o programas para envío de spam.
  • Robo datos como claves bancarias, contraseñas de acceso a correo electrónico o bases de datos.
  • Control total del equipo convirtiendo el PC en un elemento más de una red Botnet.

Es por lo anterior que contar con un proceso de administración de parches es un factor clave para reducir la exposición de nuestra infraestructura.

En términos “rimbombantes”, la administración de parches es la práctica continua de identificar, comprender, priorizar, evaluar, distribuir e instalar parches y actualizaciones. Su objetivo es corregir malos funcionamientos, “cerrar” vulnerabilidades y en los mejores casos, mejorar el desempeño y funciones de aplicativos o sistemas operativos. En resumen, su meta es mantener estable y segura la infraestructura de TI.

Si lo vemos como una analogía, la administración de parches no es una simple carrera, sino un maratón completo, el cual desde mi punto de vista, debe estar compuesto por al menos los siguientes elementos:

  1. Políticas aprobadas por la alta dirección. Su objetivo es que dicten ¿el quien?, ¿el qué?, ¿el cuándo? y ¿el por qué?
  2. Procesos tales como control de cambios y versiones, así como procedimientos que indiquen ¿el con qué? y ¿el cómo?
  3. Inventario de activos.
  4. Herramientas.
  5. Estar inscrito a listas de notificación de nuevas vulnerabilidades (CERT o SANS es un buen inicio).
  6. Y sin lugar a dudas, mucha, pero mucha persistencia.

Debido a que este tema es relativamente extenso, de la lista anterior me centraré en el punto 4.

En Internet se pueden encontrar gran variedad de herramientas gratuitas, algunas orientadas a entornos caseros (1-3 PCs) y otras dirigidas a pequeños entornos (hasta ~300 PCs), por mencionar algunas:

  • Microsoft WSUS**.
  • Microsoft Base Line Security Analyzer (MBSA)***
  • Secunia Personal Software Inspector (PSI)**** (Entornos caseros).
  • Qualys BrowserCheck Business Edition*****

Todas ellas son de utilidad, sin en cambio, para brindar funcionalidad real considero deben tener al menos las siguientes características:

  • Realizar sus funciones desde una ubicación/consola central.
  • Pueden estar o no basados en agentes (agent o agentless).
  • En caso de tener agentes, deberá contar con un mecanismo de distribución masiva y centralizado.
  • Ser capaces de identificar actualizaciones en productos de Microsoft, así como de las principales aplicaciones de terceros como: Firefox, Adobe o Flash. Este es un punto vital.
  • Generar reportes.
  • Contar con capacidades de calendarización de ejecución.
  • Tener un mecanismo de notificación de parches nuevos o requeridos.
  • Capacidad de generar un inventario de activos.
  • Brindar un mecanismo para instalación de los parches y actualizaciones.

Considerando las alternativas arriba descritas podríamos deducir que las soluciones de Microsoft (WSUS/MBSA), aunque funcionales, no cuentan con la capacidad de identificar parches en aplicaciones de terceros y con ello un gran margen de vulnerabilidades quedan sin atención.

MBSA

Secunia Personal Software Inspector (PSI), resuelve el problema anterior, sin en cambio en su versión gratuita es requerido acudir de PC en PC para realizar el análisis, es decir, no cuenta con una consola central. Sin lugar a dudas sus resultados son muy completos, pero lo usaría únicamente como alternativa casera.

SecuniaPSI3.0_02large

Por descarte nos queda Qualys BrowserCheck Business Edition del cual se hablará a continuación:

Cuenta con una interface Web en la nube (SaaS) por lo que bastará cualquier navegador para acceder a ella.

Para que funcione es requerido instalar agentes, los cuales se pueden distribuir de dos maneras:

  • Enviando por correo electrónico un vínculo a los usuarios de tal manera que al visitarlo se procede con la instalación del agente o bien,
  • Por medio de un “Logon Script” o politica GPO del Activie Directory, esta opción es automática y silenciosa, es decir, no presenta mensaje alguno al usuario final.

10438929_272259549638189_279064203577535033_n

Puede identificar los parches requeridos para la familia de productos de Microsoft, así como aplicaciones de terceros. También cuenta con la funcionalidad de notificar si el Firewall y el antivirus están activos.

Genera reportes gráficos, que aunque sencillos, brindan una visión del nivel de equipos actualizados.

10264089_272259449638199_7001229171036972842_o

Los análisis en búsqueda de actualizaciones pueden ser realizados de manera programada, entre los rangos están: análisis diarios, semanales, mensuales y trimestrales.

10485359_272259232971554_4159098697981668932_n

Cuando se identifica que una nueva actualización esta disponible, notifica mediante un mensaje emergente incluyendo las instrucciones a seguir para la instalación de la actualización.

10353559_272259166304894_5137966505904509694_n

Cada que un equipo es agregado, se realiza un inventario sencillo el cual incluye: La dirección IP, el sistema operativo, la dirección MAC y el estado de las actualizaciones.

En conclusión: Se trata de una herramienta que facilita en gran medida la administración de parches, es respaldada por una empresa que tiene ya varios años en el ámbito de la seguridad de la información y sin lugar a dudas el que no tenga costo la convierte en una alternativa muy atractiva para entornos pequeños.

Es importante comentar que si nuestro alcance fuera mayor y si de lo que habláramos se tratara de entornos grandes y corporativos, las herramientas aquí descritas carecen de un par de funcionalidades primordiales como son el “push” y el “roll back” de parches, estas funcionalidades permiten al administrador el envío bajo demanda de las actualizaciones y parches SIN necesidad de que el usuario final intervenga; así mismo puede realizar la desinstalación de los parches en caso de generar conflictos con las aplicaciones.

Referencias:

* http://web.nvd.nist.gov/view/vuln/statistics-results?adv_search=true&cves=on&pub_date_start_month=0&pub_date_start_year=2013&pub_date_end_month=5&pub_date_end_year=2014

** http://technet.microsoft.com/es-es/windowsserver/bb332157.aspx

*** http://www.microsoft.com/en-us/download/details.aspx?id=7558

**** http://secunia.com/vulnerability_scanning/personal/

***** https://www.qualys.com/forms/browsercheck-business-edition/

Recuerda que si la información fue de tu agrado, no olvides compartirla con tus colegas. Si deseas estar al tanto de noticias similares, súmate a mis redes sociales dando Like en Facebook (bit.ly/GF0SSec) y siguiéndome en Twitter (http://twitter.com/oblituary).

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s