Los ataques ransomware de WannaCry de esta semana han vuelto a poner de manifiesto la importancia de las actualizaciones de software para las organizaciones. Hay una respuesta obvia: "MANTENERSE ACTUALIZADO". Sin embargo, nunca es tan simple. WSUS puede ayudar; la automatización de WSUS puede ayudar aún más. Voy a entrar en detalle en lo que es WSUS y cómo puede ayudar su automatización, pero primero echemos un vistazo a lo que ha estado sucediendo en todo el mundo y por qué...

Fuente: Intel Malware Int

El ataque comenzó la semana pasada y se ha extendido como un virus de gusano, instalándose en una máquina con Windows después de que un usuario fuera engañado para que hiciera clic en un archivo adjunto de un correo electrónico o visitara un enlace. A partir de ahí, toma el control de la computadora, encripta los archivos, bloquea al usuario, solicita un rescate de alrededor de $500 en pagos de bitcoin y luego se propaga a otras computadoras en la red. En total, ha tratado de pedir rescate por casi 300.000 computadoras en más de 150 países. Entre ellas figuran algunos nombres importantes como el Servicio Nacional de Salud de Gran Bretaña, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn y Hitachi.

La pantalla WannaCry

Todo esto podría haberse evitado con una simple actualización del sistema. Sí, esa pequeña notificación que aparece en la esquina inferior derecha de la pantalla, tal vez en este momento. Hacer clic en esta y esperar unos minutos podría haber salvado a la mayoría de las computadoras. La mayoría, más no todas. La vulnerabilidad utilizada se encontró en Windows y fue reparada en marzo, pero solo para los sistemas operativos soportados actualmente. Esto dejó las versiones anteriores como XP y Server 2003 aún vulnerables, pero en una actualización de seguridad sorpresa el viernes, Microsoft emitió actualizaciones para muchas de las versiones anteriores.

Entonces, como organización, ¿qué se puede hacer en el futuro para prevenir este tipo de ataques?

This will happen again, it is inevitable. But there are things we can do. First, education is extremely important. Yes, there were still a lot of XP and other unsupported systems left open for preying upon, but educating employees on recognizing social engineering attacks can protect companies running even the most vulnerable systems. Teaching concepts like vishing, pretexting, baiting, whale hunting, phishing, etc. will help them make smart decisions when it comes to email attachments, unusual requests or uncertain links.

Esto sucederá nuevamente, es inevitable. Pero hay ciertas cosas que podemos hacer. Parag Gadgil

La siguiente y más obvia es la que mencioné al comienzo de este artículo. En pocas palabras: "mantenerse actualizado". Para el público, esto suena como algo muy simple. Pero cualquier persona en el mundo de TI sabe que las cosas nunca son tan fáciles. Algunas veces ciertas actualizaciones son incompatibles para las aplicaciones que se ejecutan en las máquinas, a veces las máquinas están procesando trabajos importantes o tal vez la máquina solamente está disponible para ciertos casos de uso y ponerla en línea para luego actualizarla requiere un poco de tiempo libre, tiempo libre que muchos de nosotros no tenemos. Cualquiera que sea el motivo, Windows ha proporcionado una herramienta muy útil durante muchos años, WSUS.

Fuente: Microsoft TechNet

SUS, que comenzó como "Software Update Services", representan hoy las siglas de "Windows Server Update Services" y se ha convertido en una herramienta muy poderosa en el arsenal administrativo en los últimos años. WSUS le proporciona a los equipos de administración la opción de enviar parches o actualizaciones a todas las máquinas con Windows según corresponda en una organización. WSUS permite que los administradores programen actualizaciones en determinadas fechas/horas, por ejemplo, durante los tiempos de inactividad o fuera del horario laboral. También les permite seleccionar qué actualizaciones desean impulsar, excluyendo ciertas actualizaciones según sea necesario si existen problemas de capacidad conocidos. En general, WSUS le proporciona a los administradores la capacidad de ver todas las actualizaciones disponibles en cualquier máquina determinada de la red, y seleccionar y elegir qué máquinas reciben actualizaciones específicas y en qué momento. Incluso más importante, esta herramienta seguirá a cada máquina a través del proceso de actualización, registrando cualquier problema que pueda surgir.

Esto es mucho poder. Y esta es la herramienta principal que los administradores de Windows utilizarán para mantener las máquinas actualizadas y protegidas contra este tipo de ataques. Pero puede ser incluso MÁS potente cuando considere incluir WSUS en sus flujos de trabajo de automatización. Un buen producto de automatización puede integrarse con WSUS para hacer cosas como hacer seguimiento de las actualizaciones, recoger registros, reconocer códigos de error e iniciar varios procesos según los múltiples resultados. Permítanme señalar algunos ejemplos. Con WSUS automatizado, usted puede programar sus actualizaciones y pasar a su próxima tarea. No tendrá que mirar WSUS para ver si hay errores o confirmaciones, ya que su herramienta de automatización debería poder notificarle si las cosas van mal o incluso si van bien. ¿Qué tal si el caso es actualizar una máquina o máquina virtual que no está constantemente en funcionamiento? Si WSUS es parte del tejido de automatización de una empresa, usted puede configurar fácilmente un flujo de trabajo rápido para verificar el estado de la máquina e incluso iniciarlo si su sistema se da cuenta de que no funciona. Luego, puede iniciar el proceso de WSUS para la actualización. Una vez hecho esto, su solución de automatización puede hacer que la máquina vuelva a funcionar sin tener que hacer más que un clic. Finalmente, hablemos de las máquinas de procesamiento. Conecte WSUS a su herramienta de automatización y verifique cada servidor para detectar procesos críticos antes de permitir que ocurra una actualización. Se pueden poner bucles de tiempo simples para "volver a intentarlo en 30 minutos" si su solución de automatización se da cuenta de que se está procesando. Ponga un contador con una notificación, por si acaso no desea detener el procesamiento, y esta es una forma fácil de evitar cualquier interrupción empresarial accidental. También eliminará la necesidad de un monitoreo manual de los procesos de la máquina antes de realizar cada actualización.

Este tipo de ataques son aterradores, sin duda alguna. Sin embargo, no es el dinero que piden los piratas informáticos lo que asusta a las grandes organizaciones, es la pérdida de la continuidad del negocio y los datos lo que tiene un valor incalculable. Afortunadamente, hay ciertas cosas que podemos hacer. Aprender técnicas de ingeniería social y mantenerse actualizado es un golpe doble que reducirá los riesgos en cualquier organización. Las herramientas como WSUS y las soluciones de automatización de los flujos de trabajo hacen que las cosas sean mucho más sencillas para nosotros los administradores y mucho más difíciles para los piratas informáticos.