À medida que milhares de patches e atualizações são lançados a cada mês, as equipes tem enfrentado cada vez mais dificuldades para gerenciar as vulnerabilidades. De acordo com o Cyber Threat Index 2023 da Coalition, a previsão é que a taxa média de CVEs aumentará em 13% em relação a 2022, para algo em torno de mais de 1.900 novos relatórios por mês em 2023.
Neste cenário, compartilhamos algumas das práticas que temos adotado em nosso processo para otimizar a aplicação destas correções.
Pontos principais deste artigo
- Previsão de que a taxa média de CVEs aumentará em 13% em relação a 2022;
- A importância na avaliação e priorização das correções, começando pelos de maior gravidade ou maior exposição para cada ambiente;
- Criação ou adequação do processo para testes antes de serem colocados em produção;
- Adoção de práticas recomendadas de gerenciamento de alterações;
- Não permita que os usuários tenham direitos de administrador locais para o patching;
- Não confie em ferramentas gratuitas e não confie apenas em atualizações automáticas.
Simplifique seu processo de gerenciamento de patches
Antes de tudo, é importante lembrar que o gerenciamento adequado de patches depende de fatores importantes, como tamanho do ambiente, complexidade, criticidade dos sistemas e número de recursos alocados para gerenciamento. Portanto, comece com um bom planejamento e não saia aplicando as correções de qualquer forma. Além disso, ter alguma solução de gerenciamento de endpoints ou função para implantar patches é mandatório para seguir adiante. Se não tiver, essa é a primeira etapa.
Assumindo que você os recursos necessários, o próximo passo é a avaliação e priorização dos patches.
Nem todas as vulnerabilidades são criadas iguais, o que significa que nem todos os patches são iguais. Mas como demonstraram vulnerabilidades como WannaCry, a demora na instalação de patches pode ter consequências catastróficas. Portanto, é importante priorizar as atualizações que têm a maior gravidade de vulnerabilidades não suplantadas e/ou a maior exposição para cada ambiente. Por exemplo, se você tiver uma atualização que afeta apenas alguns dispositivos de mil, e outra que afeta 80% dos dispositivos, mas ambas são críticas, foque naquela que poderia ter o maior impacto negativo e, em seguida, aborde as outras.
Depois que as atualizações críticas forem abordadas, planeje passar para os patches não críticos, que geralmente são atualizações de driver ou novo software que aprimora a experiência do usuário, e os priorize com base na importância para as operações comerciais.
Muitos usam o Common Vulnerability Scoring System (CVSS) para ajudar a priorizar as atualizações, o que é um bom ponto de partida. Apenas lembre-se de que muitas vulnerabilidades classificadas em um nível médio de gravidade são ignoradas e depois são encontradas como fonte de uma violação posterior.
Depois de priorizar os tipos de atualizações, o próximo passo é criar diretrizes para testá-las antes de serem colocadas em produção.
A última coisa que você quer fazer é causar problemas no funcionamento dos sistemas. Recomendamos as seguintes ações:
- Comece pesquisando os critérios de cada atualização e identificando quais componentes exigem teste.
- Em seguida, instale cada atualização em pelo menos cinco dispositivos off-network para serem testados em relação aos critérios de sucesso comprovados.
- Registre as evidências e peça a outra pessoa para revisá-las.
- Certifique-se de descobrir se a atualização tem um desinstalador e use-o para garantir a remoção completa e segura de programas desatualizados (ou o processo para rollback).
E cuidado com o volume de atualizações, pois quanto mais atualizações instaladas ao memso tempo, maior o risco de problemas (ou seja, maior volume de dados que precisam ser baixados, tempos de instalação mais longos, reinicializações do sistema, etc.). Avalie também o número total e o tamanho das atualizações em relação ao número total de dispositivos e tipos. Isso pode evitar sobrecargas do sistema. Planeje começar com blocos menores e depois reavalie o aumento das cargas.
Além disso, procuure adotar as melhores práticas de gerenciamento de alterações (como ITIL, Prince2 ou ServiceNow). Um processo de gestão de mudanças bem estruturado e adequado poupará um tempo enorme em caso de problemas.
Agora chegamos ao ponto de implantação. O próximo passo é garantir que a implantação ocorra com segurança. Recomendamos o uso de um calendário estruturado para o gerenciamento de patches. Nele você poderá definir as linhas de base para o número de atualizações a serem implantadas e em que ordem. Isso deve utilizar informações coletadas das etapas anteriores e depois que essa linha de base for definida, você pode agendar a implantação e automatizar onde for necessário.
Por fim, chegamos ao último passo: medir o sucesso. Isso pode ser tratado de várias maneiras. Por exemplo, pelo número de incidentes registrados, facilidade com que o processo pode ser seguido ou repetido, ou número de relatórios fornecidos por suas ferramentas. Mas, em última análise, o que importa é a implantação rápida, processos repetíveis simplificados, redução de requisitos manuais e, no final, um ambiente menos vulnerável a exploração.
Uma breve observação sobre onde a correção de falhas geralmente dá errado
Acredite ou não, algumas empresas ainda permitem que os usuários tenham direitos de administrador locais para correção de falhas. Isso cria grandes superfícies de ataque e, na realidade, nenhuma equipe de TI deve depender dos usuários finais para correção de falhas (direitos de administração não gerenciados são simplesmente muito arriscados).
Alguns também dependem de ferramentas gratuitas, mas estas frequentemente não fornecem toda a segurança necessária para a correção de falhas. Além disso, geralmente não fornecem os relatórios necessários para garantir que os sistemas estejam 100% corrigidos (ou seja, validação). E, finalmente, há uma superdependência de atualizações automáticas. As atualizações automáticas podem fornecer uma falsa sensação de segurança e podem afetar a produtividade se forem acionadas durante o horário de trabalho.
Conclusão
Seja grande ou pequena, a lutar contra a correção de falhas sempre será um grande desafio. Acreditamos que este guia passo a passo de considerações importantes para o gerenciamento de patches ajude sua empresa a criar um ou otimizar seu processo para gestão de vulnerabilidades.