Como Construir um Programa de Gerenciamento de Patches Saudável

Qualquer profissional de cibersegurança sabe que corrigir vulnerabilidades regularmente é essencial para proteger uma rede. Manter aplicativos, dispositivos e infraestrutura atualizados fecha as “portas dos fundos” no seu ambiente.

Mas a maioria dos profissionais de cibersegurança também sabe que há uma grande diferença entre a teoria de correção e a realidade. Embora implementar um programa de gerenciamento de patches seja, sem dúvida, uma boa prática, muitas organizações enfrentam dificuldades. Esse fato ajuda a explicar por que 60% das brechas estão relacionadas a vulnerabilidades conhecidas, mas não corrigidas.

O que pode ser feito? Em um dos nossos webinars recentes, conversamos com o especialista em cibersegurança Thomas Baasnes sobre como seria um programa de gerenciamento de patches “saudável”.

Continue lendo para saber sobre:

  • Como Thomas avalia a política de patches de uma empresa
  • Por que implementar um programa de patches é difícil
  • Se é melhor terceirizar o gerenciamento de patches ou fazê-lo internamente
  • Como a tecnologia de gerenciamento de patches pode ajudar

Ingredientes de um programa saudável de correção de patches

Thomas é Diretor de Cibersegurança na Verdane, uma empresa líder em private equity com sede em Oslo, Noruega. Sempre que a Verdane investe em uma empresa, Thomas realiza uma diligência sobre a postura de cibersegurança. Naturalmente, a Verdane não gostaria de investir grandes somas em uma empresa com segurança fraca, que pode enfrentar uma violação de dados e grandes multas.

Durante o nosso webinar, perguntamos a Thomas como construir um programa de correção de patches “saudável”. Ele explicou que, quando realiza a diligência em uma empresa, faz as seguintes perguntas.

Você mapeou tudo?

Se eu estou realizando diligência em uma empresa, primeiro pergunto se eles realmente mapearam tudo o que precisa ser corrigido.

Thomas Baasnes

Como diz o velho ditado, se você não pode medir, não pode gerenciar – e isso certamente se aplica à correção de patches. Sem uma visão abrangente de todos os dispositivos e aplicativos conectados à sua rede, é impossível saber qual é o status deles ou se estão vulneráveis.

A maneira mais simples de fazer esse tipo de inventário é usar software de mapeamento de rede. Ele irá escanear sua rede para encontrar todos os aplicativos (baseados na nuvem e locais) e dispositivos (incluindo servidores, IoT, impressoras). Idealmente, também deve escanear esses sistemas para ajudar a identificar quando eles foram corrigidos pela última vez e qual versão estão.

Você tem procedimentos de correção de patches em vigor?

Eles têm procedimentos para [correção de patches] e automatizaram tudo o que pode ser automatizado?

Thomas Baasnes

Um programa de gerenciamento de patches saudável exige uma abordagem clara, consistente e bem documentada. As empresas precisam de uma política que diga quanto tempo levará para implementar patches e depois ter métodos para garantir que essa política seja implementada.

Como Thomas aponta, automatizar a correção de patches – tanto quanto possível – garante essa consistência. Usar software de gerenciamento de patches automatizado garante que você implante patches em várias plataformas e softwares de terceiros de maneira eficaz.

Haverá algumas áreas que não podem ser corrigidas automaticamente, como ambientes de produção. Portanto, também é importante lembrar de corrigir essas manualmente.

De qualquer forma, Thomas enfatiza a importância de ser minucioso. Os procedimentos de correção de patches devem cobrir:

  • Todos os endpoints
  • Sistemas operacionais
  • Equipamentos de rede
  • Servidores
  • Aplicativos de terceiros
  • Seus próprios aplicativos internos

Você busca ativamente vulnerabilidades?

Você realmente usa ferramentas para encontrar vulnerabilidades em seus sistemas e tem uma boa maneira de avaliar quão críticas elas são?

Thomas Baasnes

Realizar atualizações regulares é uma boa base para a correção de patches. Mas também é importante monitorar continuamente seu ambiente em busca de riscos potenciais. Buscar vulnerabilidades proativamente, avaliar quão perigosas são e ter procedimentos para corrigi-las ajudará a fechar as brechas mais rapidamente.

Você tem uma pessoa responsável e responsável por isso?

Existe alguém que realmente obtenha informações se surgir uma nova vulnerabilidade explorável de zero-day… quem iniciará o processo de correção de patches?

Thomas Baasnes

Procedimentos e automação de gerenciamento de patches podem ajudar muito a manter seu ambiente seguro. No entanto, um programa saudável de correção de patches sempre dependerá de uma experiência humana. É muito útil ter uma pessoa designada, que seja responsável pelo gerenciamento de patches. Ela deve operar o software de correção de patches, mas também monitorar continuamente os feeds de notícias relevantes para identificar novas vulnerabilidades.

Obstáculos para aplicar a correção adequada de patches

No papel, manter os sistemas de uma organização corrigidos pode parecer simples. Mas, no mundo real, implementar práticas saudáveis de correção de patches pode ser bastante desafiador. Os seguintes comentários em tópicos de cibersegurança no Reddit destacam isso.

Resistência à correção de patches

Muitas vezes, quando digo que algo precisa ser corrigido, há resistência quanto à necessidade de fazê-lo.

Source – tosborne3

Este é certamente um dos desafios mais comuns para profissionais de TI que querem corrigir aplicativos e ferramentas. Muitos usuários finais não entendem por que seus dispositivos precisam ser atualizados, não querem gastar tempo instalando patches ou temem perder dados.

Como lidar com a resistência à correção de patches?

  • Educar os colegas sobre o que a correção de patches os protege.
  • Comunicar os benefícios da correção de patches (incluindo a melhoria na aparência e desempenho dos aplicativos).
  • Alterar políticas organizacionais, permitindo forçar a instalação de patches quando necessário.

Falta de tempo

A maior dificuldade é a equipe de suporte dizendo que não tem tempo para corrigir patches e/ou corrigir configurações.

Fonte – ageoffri

Muitas organizações continuam a corrigir manualmente seus aplicativos e endpoints. Para fazer isso sem interromper o trabalho de todos, elas geralmente precisam fazer isso nos finais de semana ou à noite. Não é surpresa que isso cause gargalos nos fluxos de trabalho de correção de patches.

Como lidar com a falta de tempo para corrigir patches?

Como Thomas explicou no nosso webinar, a automação é a chave aqui. Ao usar ferramentas de gerenciamento de patches e ativos, você pode implementar patches automaticamente. Muitas vezes, você pode configurar esses patches para serem instalados em horários não disruptivos (ou seja, à noite).

Falta de responsabilidade na correção de patches

Tendo trabalhado com muitas organizações sobre este tópico, o maior ponto de desconexão é responsabilidade versus responsabilização. Pedir, designar ou até implorar não adianta a menos que esses dois itens sejam abordados em nível executivo.

Source – pm_sweater_kittens

Sem políticas claras sobre quem é responsável pela correção de patches e quando os usuários finais devem instalar patches, as pessoas simplesmente adiarão ou ignorarão as notificações de patches.

Como lidar com a falta de responsabilidade na correção de patches?

Ter uma política documentada adequada sobre correção de patches é fundamental aqui – e ela precisa do apoio executivo. Os funcionários precisam saber que não aceitar as atualizações em seus dispositivos/aplicativos não é aceitável.

Também é vital, como Thomas nos contou no webinar, ter uma pessoa nomeada que seja responsável pela correção de patches. Ela deve ser responsável por manter a implementação de patches consistente e deve ter autoridade para fazer seus colegas cumprirem a política.

A complexidade da tecnologia

Oh meu Deus, por onde começar? Um volume gigante de ativos, todos com diferentes sistemas operacionais e stacks tecnológicos. Obter cobertura total pela infraestrutura… lacunas de cobertura. Criar detecções personalizadas para corrigir falhas de fornecedores. Taxas altíssimas de falsos positivos e benignos de fornecedores… Priorizar vulnerabilidades para remediação.

Fonte – mildlyincoherent

Para pequenas organizações ou startups com apenas alguns dispositivos, o gerenciamento de patches pode ser relativamente simples. Mas para empresas grandes ou legadas, atualizar milhares de dispositivos e aplicativos em diferentes sistemas operacionais pode ser incrivelmente complexo e demorado. Além disso, alertas intermináveis podem resultar em paralisia na correção de patches.

Como lidar com a complexidade da tecnologia?

Como Thomas disse, começa com uma auditoria abrangente e mapeamento de todos os dispositivos, aplicativos e endpoints. Também ajuda ter as ferramentas certas. O software de gerenciamento de patches que escaneia continuamente seu ambiente (incluindo on-premises, nuvem, BYOD e todos os sistemas operacionais) pode facilitar o processo.

Você deve terceirizar seu programa de correção de patches ou fazê-lo internamente?

Como os debates no Reddit destacaram acima, executar um programa de correção de patches sozinho pode ser extremamente complexo e demorado. A alternativa é terceirizar a correção de patches para um provedor de serviços gerenciados. Isso é melhor, ou a abordagem interna é mais adequada?

Para Thomas, os benefícios da terceirização são consideráveis:

Existem muitas vantagens em terceirizar suas capacidades de detecção e resposta – e você deve entender o que isso realmente significa fazer internamente. Não é apenas o custo da licença [para software de gerenciamento de patches], mas também envolve algum trabalho internamente.

Em última análise, depende da situação específica da sua organização. Para algumas empresas – particularmente aquelas com relativamente poucos endpoints, baixo risco e infraestrutura de TI relativamente simples – fazer a correção de patches internamente pode ser acessível e eficaz. No entanto, empresas mais complexas, com tecnologia mais complexa e/ou pressões regulatórias, muitas vezes se beneficiam de uma expertise externa.

As ferramentas que você precisa para um programa saudável de correção de patches

Ninguém está dizendo que executar um programa de correção de patches é fácil. Existem muitas complexidades e desafios práticos, sem contar os custos e até obstáculos culturais organizacionais.

No entanto, com as ferramentas certas, a implementação de atualizações e o monitoramento de sua rede se torna mais fácil. O software de gerenciamento de patches da Heimdal oferece uma plataforma única e poderosa que:

  • Ajuda a mapear todos os endpoints, aplicativos e dispositivos em sua rede, visível em um painel central.
  • Monitora atualizações em todas as plataformas, sistemas operacionais, nuvem e sistemas locais.
  • Testa novos patches em uma sandbox segura baseada na nuvem e, em seguida, os implementa conforme seu cronograma.

Saiba mais sobre nossa solução de gerenciamento de patches ou entre em contato conosco hoje para uma demonstração.

Se você gostou deste artigo, siga-nos no LinkedInTwitterFacebook YouTube para mais notícias e tópicos sobre cibersegurança.

Aufiero-Informática
  • Argentina: +54-11-2150-5353
  • Chile: +56-2-2405-3246
  • México: +52-55-8526-3019
  • United States:+1 305 404-5229
  • Brasil: +55-11 5242 0742
  • Perú: +51-1-640-9337
  • Uruguay: +598 0004054432
  • Colombia: +57 333 033 4470
  • ventas@aufieroinformatica.com
  • vendas@aufieroinformatica.com