A importância do gerenciamento de patches nunca foi tão grande como nos dias de hoje. Manter um software atualizado por meio de patches incrementais oferece acesso a novos recursos, estabilidade e melhor desempenho. Embora, nada seja mais importante ou sensível ao tempo do que corrigir vulnerabilidades de segurança. Algumas tendências que auxiliam as organizações no gerenciamento de patches e vulnerabilidades são automações, SLAs, patches programados e integrações de DevSecOps.
Como os CIOs, CTOs e CISOs devem avançar em seus processos de atualização de software?
Em geral, um CIO está analisando o gerenciamento de patches para estabilidade e resiliência, um CTO está preocupado com a funcionalidade e um CISO está focado em remediar vulnerabilidades de segurança. Esses resultados desejados podem estar em desacordo entre si, por isso é necessário uma política coordenada em relação ao gerenciamento de patches para equilibrar estabilidade, funcionalidade e segurança.
Um estudo realizado pelo Ponemon Institute descobriu que os patches existentes poderiam ter evitado 57% dos ataques cibernéticos. Nesse mesmo estudo, 34% dos entrevistados estavam cientes da vulnerabilidade de segurança antes do ataque.
Em outro estudo, realizado pela Check Point Software, 75% dos ataques usaram vulnerabilidades divulgadas há mais de quatro anos e quase 20% usaram vulnerabilidades com mais de sete anos. Na verdade, Cross Site Scripting (XSS) permanece como uma das vulnerabilidades mais exploradas. Esta técnica em particular está em uso há mais de 15 anos. Ameaças de dia zero (Zero Day), como Log4j, por exemplo, podem ter resultados catastróficos. A falha Log4j foi explorada meses antes de ser divulgada no final de 2021 e muito poucos controles de segurança a identificaram antes de ser conhecida. Depois que a vulnerabilidade foi corrigida, organizações em todo o mundo se apressaram em corrigir ou implementar controles de mitigação. Meses após a disponibilização dos patches, 30% das instâncias Log4j voltadas para a Internet permaneceram sem patches e vulneráveis.
Manter uma estratégia de gerenciamento de patches consistente e abrangente, não apenas para mitigar as ameaças Zero Day, mas também para eliminar vulnerabilidades conhecidas e mais antigas, é fundamental. Os criminosos cibernéticos, com exceção daqueles que realizam ataques direcionados, tentarão violar os alvos mais fáceis. As organizações vulneráveis a ataques mais antigos com milhares de explorações comprovadas estão em maior risco.
Como grandes corporações devem lidar com as atualizações de software e gerenciamento de patches?
Organizações maiores, por natureza, terão mais sistemas para gerenciar, porém terão mais recursos para resolver os problemas. O maior desafio enfrentado por grandes empresas não é apenas o alto número de sistemas, mas a variedade deles que aumentam a superfície de ataque. Uma organização terá sistemas, servidores e endpoints tradicionais, mas também precisará levar em consideração a infraestrutura em nuvem, o número de plataformas usadas, IoT e sistemas legados. Uma organização de pequeno a médio porte pode usar a plataforma Windows para endpoints, servidores e aplicativos, exigindo foco apenas na correção de produtos Windows. À medida que uma organização cresce, também cresce sua superfície de ataque, que pode incluir Windows, Macs, iOS, Android, vários tipos de Linux, sistemas fechados, centenas de aplicativos (comerciais e de código aberto), infraestrutura de nuvem nativa e dispositivos IoT.
Um dos primeiros desafios é identificar os ativos que podem ser vulneráveis. A varredura de redes para encontrar sistemas tradicionais é comum, mas como você identifica e cataloga dispositivos IoT, infraestrutura de nuvem dinâmica e terminais de roaming/remotos? Os sistemas não tradicionais precisam ser endereçados por meio da descoberta de IoT, gerenciamento de postura de segurança na nuvem e de endpoints. Com muita frequência, as organizações ignoram os sistemas dinâmicos e ocultos em seu ambiente. O idela é automatizar não apenas a descoberta, mas também a proteção/patch desses sistemas numerosos e dinâmicos.
Orientações sobre o gerenciamento de vulnerabilidades
O gerenciamento de patches é uma parte crítica de uma estratégia geral de gerenciamento de vulnerabilidades, mas não é tudo. O primeiro passo é identificar as vulnerabilidades e a superfície de ataque na organização. A falta ou identificação incorreta de ambientes IoT, Cloud ou Shadow IT pode custar caro no futuro.
O próximo passo é avaliar e priorizar as vulnerabilidades. Elas podem ser priorizadas com base em várias variáveis, incluindo gravidade (pontuação CVSS), impacto na organização e probabilidade de exploração. A priorização da vulnerabilidade é função dessas variáveis. Por exemplo, se uma vulnerabilidade tem uma pontuação CVSS de 10 (crítica), existe apenas em dois sistemas que não estão expostos fora da organização e não são sistemas críticos, ela pode ter uma prioridade menor do que uma vulnerabilidade que tem uma pontuação CVSS de 5, existe em centenas de sistemas expostos e é fundamental para a plataforma de comércio eletrônico da organização.
Em terceiro lugar, e mais importante, é a remediação das ameaças. Nos casos em que a correção de vulnerabilidades conhecidas não é possível por vários motivos, sistemas fechados/regulamentados que não podem ser corrigidos, IoT, dispositivos não gerenciados ou perda potencial de serviço, apenas para citar alguns exemplos, a correção virtual é uma opção. Ela envolve o uso de controles de segurança para evitar a exploração da vulnerabilidade quando a correção do sistema não for viável. Por fim, a prevenção e o Zero Trust precisam estar na estratégia de gerenciamento de vulnerabilidades de qualquer organização.
VEJA TAMBÉM: CSMA: O que é Cybersecurity Mesh Architecture?
O que os executivos devem saber sobre a importância das atualizações de software?
Os executivos C-level precisam criar, orçar e planejar atualizações de software/gerenciamento de patches em sua estratégia geral de TI. As organizações não podem esperar que um problema ou uma grande vulnerabilidade apareça antes de desenvolver um plano de gerenciamento de patches. As organizações precisam definir SLAs de mitigação com base no impacto para os negócios.
As empresas precisam observar o histórico dos principais fornecedores de TI e a resposta a problemas de segurança em seus produtos. O uso de software de código aberto precisa ser tratado com o mesmo cuidado dos sistemas desenvolvidos internamente.
As políticas de gerenciamento de vulnerabilidade também podem ser exigidas por regulamentos governamentais e do setor e políticas de seguro cibernético. O gerenciamento de patches/vulnerabilidades não é apenas uma questão de tecnologia, mas também uma preocupação financeira e de compliance.
A maioria das organizações concentra seu gerenciamento de patches/vulnerabilidades em sistemas operacionais e aplicativos tradicionais. Um dos aspectos mais negligenciados diz respeito ao desenvolvimento ágil, CI/CD, IaC, DevOps, DevSecOps, nuvem nativa e contêineres. Um programa robusto de gerenciamento de vulnerabilidades precisa abordar a visibilidade de contêineres, infraestrutura de código, scripts de formação e soluções de nuvem nativas (funções e workloads).
As proteções aplicadas ao desenvolvimento e ao tempo de execução dos serviços podem melhorar muito o programa de gerenciamento e mitigação de vulnerabilidades de uma organização, eliminando o risco antes da publicação ou exposição do aplicativo.
Fonte: CyberTalk
Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado de Next Generation Firewall.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.