Aprende a minimizar los riesgos concernientes a las actualizaciones de software
Según el gigante tecnológico Microsoft, el famoso incidente del pantallazo azul que fue causado por una actualización fallida por parte de la empresa CrowdStrike, afectó a más de 8 millones de computadores alrededor del mundo.
Dicho incidente también ha costado cuantiosas cantidades de dinero a múltiples organizaciones, lo que ha abierto el debate acerca de cómo ser puede hacer para evitar situaciones como la de CrowdStrike en el futuro.
Vale aclarar que nadie es inmune a los errores, ya que es imposible garantizar la ausencia total de fallas en sistemas complejos que dependen de software. No obstante, un proceso bien estructurado de desarrollo, comprobación, entrega de producto y la actualización de los dispositivos de los usuarios, permite la reducción de la probabilidad de fallos graves. Por esta razón, se debe tener el proceso anterior implantado con prontitud.
Muchas compañías de software de ciberseguridad han experimentado situaciones similares, es decir, con la actualización de sus productos. Una de las empresas líderes de la industria ha manifestado que el último incidente ocurrido con una de sus soluciones ocurrió en el año 2013.
Después de aquel infortunado episodio, realizaron un análisis profundo de las causas que provocaron el fallo, llevando a revisar el enfoque de creación y verificación de actualizaciones por completo. Esto aplica tanto para productos enfocados a las empresas como para usuarios comunes. El sistema que la empresa desarrolló es tan eficaz que en 11 años no ha dado cuenta de un incidente similar.
Una de las cosas que las grandes empresas comenzaron a hacer es compartir el proceso que han creado para lanzar una actualización. Esto se debe a que, sin el libre intercambio de mejores prácticas y soluciones que diferentes organizaciones desarrollan, el progreso de la industria de la seguridad informática se estancaría.
Entre los mecanismos principales de la protección de las actualizaciones puede encontrarse las pruebas multinivel. Existen dos tipos de actualizaciones en los productos de seguridad; algunas se usan para añadir una nueva lógica de detección y otras se emplean para cambiar la funcionalidad de un producto determinado.
Introducir nuevas funcionalidades puede aumentar las probabilidades de riesgos potenciales. Sin embargo, está demostrado que las actualizaciones de lógica pueden ocasionar problemas del mismo modo. Por esta razón, se debería comprobar con precaución ambos tipos de actualizaciones en sus diferentes etapas.
Cuando se crean y se publican algunas reglas de detección, se generan automáticamente y son escritas por analistas. Estas reglas se prueban en una base de datos de objetos legítimos, sin que resulten afectados por programas maliciosos. Entre ellos se encuentran patrones de comportamiento, páginas web y archivos, entre otros.
De esta manera, pueden identificarse y filtrarse los llamados falsos positivos. Las empresas de seguridad disponen de amplias colecciones de objetos legítimos y limpios, tanto software como recursos web, los cuales se actualizan constantemente y en donde se prueban las nuevas reglas creadas en las actualizaciones.
Las pruebas de actualización no están limitadas a ser comprobadas en colecciones de archivos. Si no se han detectado problemas en la primera fase, todos los componentes actualizados son sometidos a pruebas automáticas de varias fases en máquinas virtuales, las cuales tienen diversas configuraciones de productos de seguridad, sistemas operativos y software.
Por último, se ejecutan varios escenarios relacionados con los productos en prueba y el funcionamiento de sus sistemas de seguridad. Además, se imita el comportamiento típico de los usuarios, haciendo un análisis completo del sistema de archivos, el proceso de instalación de la actualización y el reinicio después de dicha actualización.
