Los adversarios, desde bandas de ciberdelincuentes hasta escuadrones de ciberataques de estados-nación, están perfeccionando la IA armada con el objetivo de derrotar nuevos parches en 3 días o menos.
Cuanto más rápido sea el ataque, más tiempo habrá para explorar la red de la víctima, extraer datos, instalar ransomware o configurar un reconocimiento que durará meses o años. La aplicación tradicional de parches manuales es ahora una responsabilidad, lo que deja a las organizaciones indefensas contra los ataques de IA armados.
"Los actores de amenazas son parches de ingeniería inversa, y la velocidad a la que lo hacen se ha mejorado enormemente gracias a la IA." Mike Riemer, vicepresidente senior del grupo de seguridad de red y CISO de campo en Ivanti dijo VentureBeat en una entrevista reciente. "Pueden aplicar ingeniería inversa a un parche en 72 horas. Entonces, si lanzo un parche y un cliente no lo aplica dentro de las 72 horas posteriores a ese lanzamiento, está expuesto a ser explotado."
Esto no es una especulación teórica. Es la dura realidad que obliga a los proveedores a rediseñar completamente su infraestructura de seguridad desde el núcleo. La semana pasada, Ivanti lanzó Connect Secure (ICS) versión 25.X, marcando lo que Riemer llama "evidencia tangible" del compromiso de la empresa de hacer frente a esta amenaza de frente.
En DEF CON 33 investigadores de loboámbar demostró que esta amenaza es real, demostrando omisiones completas de autenticación en zscaler, Netskopey Check Point explotando vulnerabilidades que existieron durante meses, incluida la falla de Zscaler para validar las afirmaciones SAML (CVE-2025-54982), el acceso OrgKey sin credenciales de Netskope y las claves SFTP codificadas de Check Point que exponen los registros de los inquilinos fueron fallas que quedaron abiertas y explotables más de 16 meses después de la divulgación inicial.
Por qué es importante la seguridad del kernel
El kernel es el orquestador central de todo lo que sucede en un dispositivo informático, controlando la memoria, los procesos y el hardware.
Si un atacante compromete el kernel, ha tomado el control total de un dispositivo que puede escalar hasta comprometer una red completa. Cualquier otra capa de seguridad o aplicación, plataforma o protección se elude inmediatamente y los atacantes toman el control del kernel.
Casi todos los sistemas operativos se basan en el concepto de hacer cumplir anillos de privilegios. Las aplicaciones se ejecutan en modo de usuario con acceso limitado. El kernel opera en modo kernel con control total. Cuando los adversarios rompen esa barrera, obtienen acceso a lo que muchos investigadores de seguridad consideran el santo grial de las vulnerabilidades de un sistema y de redes enteras.
El nuevo lanzamiento de Ivanti aborda directamente esta realidad. Connect Secure 25.X se ejecuta en un sistema operativo Oracle Linux de nivel empresarial con una fuerte aplicación de Security-Enhanced Linux (SELinux) que puede limitar las capacidades de un actor de amenazas dentro del sistema. La solución incluye protección de arranque seguro, cifrado de disco, administración de claves, restablecimiento seguro de fábrica, un servidor web seguro moderno y firewall de aplicaciones web (WAF), todo diseñado para proteger aspectos clave del sistema y disuadir significativamente las amenazas externas.
"El año pasado, avanzamos significativamente en nuestra estrategia Secure by Design, traduciendo nuestro compromiso en acciones reales a través de inversiones sustanciales y un equipo de seguridad ampliado." explicó Riemer. "Este comunicado es una prueba tangible de nuestro compromiso. Escuchamos a nuestros clientes, invertimos en tecnología y talento y modernizamos la seguridad de Ivanti Connect Secure para brindar la resiliencia y la tranquilidad que nuestros clientes esperan y merecen."
De los anillos de SO a los anillos de despliegue: una estrategia de defensa más completa
Si bien los anillos del sistema operativo definen niveles de privilegios, la administración de parches moderna ha adoptado su propia estrategia de anillo para combatir la ventana de explotación de 72 horas.
La implementación de Ring proporciona una estrategia de parcheo automatizada y por fases que implementa actualizaciones de forma incremental: un anillo de prueba para la validación de TI central, un anillo de adopción temprana para pruebas de compatibilidad y un anillo de producción para la implementación en toda la empresa.
Este enfoque aborda directamente la crisis de velocidad. La implementación de Ring logra un 99% de éxito en los parches en 24 horas para hasta 100.000 PC, según una investigación de Gartner. Instituto Ponemon Las investigaciones muestran que las organizaciones tardan un alarmante promedio de 43 días en detectar ataques cibernéticos, incluso después de que se lanza un parche.
Jesse Miller, vicepresidente senior y director de TI de Banco Southstarenfatizó: "Al juzgar el impacto que puede tener algo, hay que tener en cuenta todo, desde los acontecimientos actuales, la industria, el entorno y más, en la ecuación." Su equipo utiliza el despliegue de anillos para reducir su superficie de ataque lo más rápido posible.
Los atacantes explotan agresivamente las vulnerabilidades heredadas y el 76 % de las vulnerabilidades aprovechadas por el ransomware se informaron entre 2010 y 2019. Cuando el acceso al kernel está en juego, cada hora de retraso multiplica el riesgo exponencialmente.
El dilema del núcleo se centra en equilibrar la seguridad y la estabilidad
En la conferencia FalCon de CrowdStrike, el director de innovación tecnológica, Alex Ionescu, expuso el problema: "A estas alturas, está claro que si desea protegerse contra malos actores, necesita operar en el kernel. Pero al hacerlo, se pone en riesgo la fiabilidad de su máquina."
La industria está respondiendo con cambios fundamentales:
-
exige cambios de varios años para cada proveedor de seguridad de Windows
-
para una instrumentación del kernel más segura
-
Marco de seguridad para terminales de Apple
permite la operación en modo de usuario
La omisión de autenticación ocurre cuando los núcleos están comprometidos
loboámbar Los investigadores pasaron siete meses analizando ZTNA productos. zscaler no se pudo validar SAML afirmaciones (CVE-2024-54982). Netskope la autenticación podría omitirse utilizando valores OrgKey no revocables. Punto de control había codificado SFTP llaves (CVE-2025-3831).
Estas vulnerabilidades existieron durante meses. Algunos proveedores parchearon silenciosamente sin CVE. En agosto de 2025, 16 meses después de la divulgación, muchas organizaciones todavía utilizaban configuraciones explotables.
Lecciones aprendidas al comprimir 3 años de seguridad del kernel en 18 meses
Cuando los atacantes de un estado-nación explotaron Ivanti Connect Secure en enero de 2024, validaron la decisión de Ivanti de avanzar rápidamente en su estrategia de seguridad a nivel de kernel, comprimiendo un proyecto de tres años en solo 18 meses. Como explicó Riemer, "Ya habíamos completado la fase uno del proyecto de endurecimiento del kernel antes del ataque. Eso nos permitió girar y acelerar rápidamente nuestra hoja de ruta”.
Los logros clave incluyeron:
-
Migración a Oracle Linux de 64 bits:
Ivanti reemplazó un sistema operativo CentOS de 32 bits obsoleto con Oracle Linux 9, lo que redujo significativamente las vulnerabilidades conocidas vinculadas a componentes heredados de código abierto.
-
Aplicación personalizada de SELinux:
La implementación de políticas estrictas de SELinux inicialmente rompió una cantidad significativa de características del producto, lo que requirió una refactorización cuidadosa sin comprometer los parámetros de seguridad. La solución resultante funciona ahora en modo de aplicación permanente, explicó Riemer.
-
Proceso de eliminación de privilegios y arranque seguro con TPM:
Ivanti eliminó los privilegios de root de los procesos críticos e integró el arranque seguro basado en TPM y el cifrado RSA, garantizando comprobaciones continuas de integridad, alineándose con las recomendaciones y hallazgos de la investigación de AmberWolf.
También hubo una serie de iniciativas de pruebas de penetración independientes, y cada una confirmó cero compromisos exitosos, y los actores de amenazas generalmente abandonaron los intentos en un plazo de tres días.
Riemer explicó a VentureBeat que los clientes de la comunidad de inteligencia global observaron activamente a los actores de amenazas probar los sistemas reforzados. "Lo intentaron viejo TTPgiró hacia las vulnerabilidades del servidor web. Prácticamente se dieron por vencidos después de unos tres días." Dijo Riemer.
La decisión de pasar al nivel del kernel no fue una respuesta de pánico. "De hecho, teníamos planes en marcha en 2023 para abordar esto antes de que nos atacaran." Dijo Riemer. La conversación que selló la decisión ocurrió en Washington, DC. "Me senté con el CIO de una agencia federal y le pregunté rotundamente: ¿Será necesario que el gobierno de EE. UU. tenga una solución VPN L3 local en el futuro?" recordó Riemer. "Su respuesta fue que siempre habría una misión en la que se necesitaría una solución de tipo VPN L3 local para dar acceso a comunicaciones cifradas al combatiente."
El futuro más allá de la seguridad del kernel incluye eBPF y Behavioral Monitoring
Gartner Radar de impacto tecnológico emergente: informe de seguridad en la nube tarifas eBPF como tener "alto" masa con 1-3 años hasta la adopción por mayoría temprana. "El uso de eBPF permite mejorar la visibilidad y la seguridad sin depender únicamente de agentes a nivel de kernel." Notas de Gartner.
La mayoría de los proveedores de seguridad cibernética están invirtiendo mucho en eBPF. "Hoy en día, casi toda nuestra base de clientes opera Sensor de halcón encima de eBPF," dijo Ionescu durante su discurso de apertura en la Fal.Con de este año. "Hemos sido parte de ese viaje como Fundación eBPF miembros."
Redes de Palo Alto también se ha convertido en un actor importante en la seguridad basada en eBPF, invirtiendo fuertemente en la tecnología para sus Corteza XDR y Nube prisma plataformas. Este cambio arquitectónico permite Redes de Palo Alto para proporcionar una visibilidad profunda de las llamadas al sistema, el tráfico de la red y la ejecución de procesos mientras se mantiene la confiabilidad del sistema.
La convergencia de Multitud de huelga, Redes de Palo Altoy otros proveedores importantes de tecnología eBPF señalan una transformación fundamental: proporcionar la visibilidad que los equipos de seguridad necesitan sin riesgos de fallas catastróficas.
Estrategias defensivas que están funcionando
La aplicación de parches suele quedar relegada a una de esas tareas que se posponen porque muchos equipos de seguridad carecen de personal y se enfrentan a una escasez crónica de tiempo. Esas son las condiciones en las que cuentan los adversarios cuando eligen a sus víctimas.
Es una apuesta segura que si una empresa no prioriza la ciberseguridad, tardará meses o incluso años en aplicar los parches. Eso es lo que buscan los adversarios. Los patrones surgen de diferentes industrias de víctimas y comparten un rasgo común de postergar el mantenimiento del sistema en general y los patrones de seguridad en particular.
Basándose en entrevistas a víctimas de infracciones que comenzaron con parches que a veces tenían años de antigüedad, VentureBeat ha observado las siguientes medidas inmediatas que toman para reducir la probabilidad de sufrir un nuevo ataque:
Automatice la aplicación de parches de inmediato. Los ciclos mensuales están obsoletos. Tony Miller, Ivanti’s Vicepresidente de servicios empresariales, confirmó que la implementación del anillo elimina el caos de parches reactivos que deja a las organizaciones vulnerables durante el período crítico de 72 horas.
Audite la seguridad a nivel de kernel. Pregunte a los proveedores sobre eBPF/FSE/JIRÓN planes y cronogramas de migración.
Defensas de capa. Esto es algo que está en juego en cualquier estrategia de ciberseguridad, pero es fundamental hacerlo bien. "Si fue SELinux creación de perfiles, evitación de privilegios de root, un servidor web actualizado o la WAF—cada capa detuvo los ataques," Dijo Riemer.
Exigir transparencia. "Otro proveedor había sido atacado en noviembre de 2023. Esa información no estuvo disponible hasta agosto de 2024." reveló Riemer. "Esta es la razón Ivanti ha sido tan público sobre la transparencia."
El resultado final
La transformación a nivel de kernel no es opcional. Es supervivencia cuando la IA convierte las vulnerabilidades en armas en tres días.
Ivanti Connect Secure 25.X representa lo que es posible cuando un proveedor se compromete plenamente con la seguridad a nivel de kernel, no como una medida reactiva, sino como un principio arquitectónico fundamental. Gartner El supuesto de planificación estratégica es aleccionador: "Para 2030, al menos el 80% de las empresas ventanas Los puntos finales seguirán dependiendo de agentes híbridos de protección de puntos finales, lo que aumentará la superficie de ataque y requerirá una validación rigurosa."
Las organizaciones deben reforzar lo que pueden ahora, automatizar de inmediato y prepararse para los cambios arquitectónicos. Como Gartner enfatiza, combinando el despliegue del anillo con controles de compensación integrados que incluyen plataformas de protección de terminales, autenticación multifactory segmentación de red como parte de un más amplio marco de confianza cero garantiza que los equipos de seguridad puedan reducir las ventanas de exposición.
#armada #puede #desmantelar #parches #horas #pero #defensa #del #núcleo #Ivanti #puede #ayudar
