Estadísticas de parches de software: prácticas comunes y vulnerabilidades

¿Se pregunta sobre las estadísticas de parches de software y cuál es el estado actual de las actualizaciones? Aquí es donde encontrará todos los datos relevantes tan pronto como los expertos los revelen.

Sin lugar a dudas, las dificultades y los retrasos en la aplicación de parches de software siguen siendo una de las mayores amenazas para las empresas hoy en día. Las aplicaciones y el software que carecen de la última actualización son algunos de los objetivos más fáciles para cualquier pirata informático que quiera infiltrarse en una organización.

Los expertos lo repiten una y otra vez, pero a la gente le cuesta acceder a esas interminables actualizaciones de software. Es tanto una cuestión de priorización como una cuestión de dificultad (en ausencia de una herramienta que pueda automatizar con éxito la aplicación de parches de software).

Por qué es importante la aplicación de parches de software, en estadísticas y datos:

  • Microsoft informa que la mayoría de sus clientes son violados a través de vulnerabilidades que tenían parches lanzados hace añosInforme de inteligencia de seguridad de Microsoft, 2015.
  • El 80% de las empresas que sufrieron una violación de datos o una auditoría fallida podrían haberlo evitado mediante la aplicación de parches a tiempo o la actualización de la configuración, según una encuesta de Voke Media, 2016.
  • Tras una violación o una auditoría fallida, casi la mitad de las empresas (46%) tardaron más de 10 días en remediar la situación y aplicar parches, ya que la implementación de actualizaciones en toda la organización puede ser difícil (encuesta de Voke Media, 2016).
  • Malware y ransomware devastadores que podrían haberse evitado parcheando el software a tiempo: WannaCry, NotPetya, SamSam.
  • El 58% de las organizaciones funcionan con «sistemas heredados«, es decir, plataformas que ya no son compatibles con parches, pero que seguirían siendo demasiado costosas para reemplazarlas en un futuro próximo (Informe de la encuesta 0patch, 2017).
  • El 20% de todas las vulnerabilidades causadas por software sin parches se clasifican como de alto riesgo o críticas – Edgescan Stats Report, 2018.
  • El tiempo promedio para que las organizaciones cierren una vulnerabilidad descubierta (causada por software y aplicaciones sin parches) es de 67 díasEdgescan Stats Report, 2018.
  • El 18% de todas las vulnerabilidades a nivel de red son causadas por aplicaciones sin parches: Apache, Cisco, Microsoft, WordPress, BSD, PHP, etc. – Informe de estadísticas de Edgescan, 2018.
  • El 37% de las organizaciones admitió que ni siquiera escanean en busca de vulnerabilidades – Informe Ponemon, 2018.
  • El 64% de las organizaciones dicen que planean contratar a más personas en el equipo de respuesta a vulnerabilidades, aunque el número promedio de empleados ya es de 28, lo que representa alrededor del 29% de todos los recursos humanos de seguridad – Informe sobre el estado de la vulnerabilidad de Ponemon, 2018.
  • Aun así, esto es algo que se conoce en la industria como la «paradoja de los parches»: contratar a más personas no hará que las vulnerabilidades del software sean más fáciles de manejar, según el Informe sobre el estado de la vulnerabilidad de Ponemon, 2018.
  • Desde 2002, el número total de vulnerabilidades de software ha crecido año tras año por miles. El año pico parece haber sido 2018 por ahora, pero las cifras siguen aumentando: informe de ENISA para 2018.
  • En 2019, solo el 42% de los encuestados de un estudio realizado por Kaseya dijeron que automatizaron o planeaban automatizar la gestión de parches. 
  • El 47% de los encuestados del estudio de Kaseya de 2019 dijeron que escanean regularmente todos sus servidores y estaciones de trabajo en busca de parches de software de terceros, y el 42% dijo que aplican los parches críticos «dentro de los 30 días posteriores al lanzamiento».

¿Por qué es tan difícil aplicar parches de software?

La razón principal por la que la aplicación de parches es difícil es que las actualizaciones manuales (o la coordinación manual de las actualizaciones) llevan una cantidad espantosa de tiempo.

Según el estudio del Instituto Ponemon de 2018:

  • Más de la mitad de todas las empresas (55%) dicen que cuando se trata de parchear, pasan más tiempo navegando manualmente por los diversos procesos involucrados que parcheando realmente las vulnerabilidades;
  • En promedio, los equipos tardan 12 días en coordinarse para aplicar un parche en todos los dispositivos;
  • La mayoría de las empresas (61%) sienten que son desventajas confiar en procesos manuales para aplicar parches de software;
  • Casi dos tercios de todas las empresas (65%) dicen que actualmente es demasiado difícil para ellos decidir correctamente sobre el nivel de prioridad de cada parche de software (es decir, qué actualización es de importancia crítica y debe aplicarse primero).

Teniendo en cuenta que no tiene sentido que la mayoría de las organizaciones tengan expertos en seguridad realmente bien capacitados en su nómina, tiene sentido tener dificultades a la hora de priorizar los parches. En el mejor de los casos, los profesionales de seguridad y TI definen las prioridades simplemente siguiendo la puntuación CVSS.

Si bien la puntuación de la importancia de los parches es confiable, las organizaciones que implementan la automatización de parches de software siguen estando mejor tanto en términos de seguridad como de tiempo dedicado.

¿Por qué las empresas optan por retrasar la aplicación de parches y actualizaciones de software?

No es solo que sea difícil. Algunos gerentes no quieren aplicar los parches.

Las organizaciones no solo se retrasan en la aplicación de parches porque lleva tiempo; Algunos gerentes son reacios a aplicar los parches por otras razones. Según el informe de la encuesta 0patch, 2017:

  • El 88% dice que aplicaría los parches más rápido si tuviera la opción de quitarlos rápidamente si fuera necesario;
  • El 79% dice que desacoplar los parches de seguridad de los funcionales les ayudaría a aplicar los parches de seguridad más rápido;
  • El 72% de los gerentes tienen miedo de aplicar parches de seguridad de inmediato porque podrían «romper cosas»;
  • El 52% de los gerentes dicen que no quieren los cambios de funcionalidad que vienen con los parches de seguridad.

Aún más preocupante es que no todo el mundo es consciente de lo peligroso que puede ser retrasarlo. Una de las estadísticas de parches de software más desconcertantes del año pasado proviene del informe del Instituto Ponemon para 2019, nuevamente. Según ellos, solo el 39% de las organizaciones son conscientes de que las brechas reales están vinculadas a vulnerabilidades conocidas.

Por supuesto, no querer la molestia de actualizar el software o el sistema es una actitud legítima, aunque muy peligrosa. Pero solo es una molestia si planea actualizarlo solo, manualmente.

Sin embargo, ¿qué pasa con los últimos dos años?

  • En el revolucionario año 2020, tres de cada cuatro violaciones de datos fueron causadas por parches faltantes o mal configurados, y a las empresas les resultó aún más difícil administrar los parches correctamente debido a las oficinas remotas, la alta movilidad de los empleados y la falta de visibilidad de los puntos finales. 
  • El trabajo remoto hizo que los participantes encuestados tuvieran aún menos confianza en la higiene cibernética de sus endpoints, lo que sugiere que todavía dependen principalmente de la aplicación manual de parches o herramientas que no pueden ser efectivas en entornos remotos o en la nube. 
  • El informe de TuxCare de 2021 mostró que la mayoría (76%) de sus encuestados (administradores de sistemas, profesionales de DevOps, administradores de red, gerentes de seguridad de TI, directores de información) finalmente recurrieron a la gestión automatizada de parches. 
  • El mismo estudio también mostró cuáles son las características más importantes que debe tener una herramienta de gestión de parches: «respuesta rápida a nuevos CVE», «parches en vivo de todos los componentes sin tiempo de inactividad», «informes completos», «informes automatizados». 
  • Otro aspecto mejorado revelado por el informe TuxCare 2021 es que los procedimientos de parcheo ocupaban menos de dos horas a la semana en la mayoría de los sectores: banca, financiero, agricultura, educación, transporte, logística, sanidad, servicios profesionales. 

Como dice un informe de Market Data Forecast, «se espera que el tamaño del mercado mundial de gestión de parches crezca USD 1084 millones para 2026 desde USD 652 millones en 2021, creciendo a una CAGR del 10,7% entre 2021 y 2026». Esta es una noticia increíble, que muestra una dirección clara y el interés en cerrar las vulnerabilidades y proteger los endpoints. 

Nuestras propias estadísticas de parches de software:

Tenemos cientos de miles de endpoints empresariales que se mantienen seguros y actualizados a través de nuestra solución de automatización de gestión de parches, Heimdal™ Patch & Asset Management. Si bien nuestros rápidos tiempos de respuesta e implementación nos permiten mantenerlos todos actualizados a un ritmo mucho mayor en comparación con los puntos de referencia de la industria, todavía hay información interesante que se puede extraer de nuestros datos.

Esto es de lo que podemos presumir:

  • Un nuevo parche llega a los endpoints protegidos con nuestro sistema de gestión de parches en un plazo de 4 horas desde su lanzamiento (si el endpoint está disponible para recibirlo);
  • Al aplicar automáticamente los parches, la tecnología Heimdal™ Patch & Asset Management cierra eficazmente todas las posibles vulnerabilidades del sistema en un entorno empresarial, eliminando aproximadamente el 85% de todos los posibles vectores de ataque.
  • Por el momento, el sistema de gestión de parches Heimdal™ Patch & Asset Management cubre más de 140 de los programas y aplicaciones más comunes, y cada año se añaden varias aplicaciones y software a la lista.

Terminando:

Si hay algo que reflejan las últimas estadísticas de parches de software, es que el campo puede ser muy poco homogéneo. Algunas organizaciones reaccionan más rápido a los parches, pero tardan mucho tiempo en aplicarlos o los aplican en el orden incorrecto. Otros tienen procedimientos de asignación complicados, pero una vez que se configura la aplicación de un parche, se realiza de manera rápida y sin problemas. Algunos aplican solo actualizaciones críticas del sistema y rechazan por completo otros parches para evitar cambios en la funcionalidad, incluso si los pone en algún riesgo.

La conclusión es que, sea cual sea el sabor único de su organización, sabemos que los parches pueden ser abrumadores de una forma u otra. Es por eso que aprovechamos el poder de escalado de la tecnología para ayudar a mantener a nuestros clientes cubiertos con todos los parches de software y sin inconvenientes.

Nuestro Heimdal™ Patch & Asset Management se encargará de todas las actualizaciones de software y parches en un plazo de 4 horas desde su lanzamiento, de forma silenciosa, en segundo plano, sin interrupciones.

Puede configurarlo y olvidarlo, como nos gusta decir, o establecer algunas preferencias (como el derecho a excluir actualizaciones de una aplicación o categoría, o que se le pregunte antes de aplicar un parche en todos los endpoints dentro de su organización, o la posibilidad de implementar y parchear su propio software personalizado a través de la plataforma). ¡Asegúrate de solicitar una demo y pruébalo! 

Aufiero-Informática
  • Argentina: +54-11-2150-5353
  • Chile: +56-2-2405-3246
  • México: +52-55-8526-3019
  • United States:+1 305 404-5229
  • Brasil: +55-11 5242 0742