Menu

Como criar um programa de gerenciamento de patches saudável

Qualquer profissional de segurança cibernética sabe que corrigir vulnerabilidades regularmente é essencial para proteger uma rede. Manter aplicativos, dispositivos e infraestrutura atualizados evita que eles entrem no seu ambiente.

Mas a maioria dos profissionais de segurança cibernética também sabe que há uma grande lacuna entre a teoria dos patches e a realidade. Embora implementar um programa de gerenciamento de patches seja inegavelmente uma boa prática, a maioria das organizações enfrenta dificuldades. Esse fato explica em parte por que 60% das violações de segurança estão relacionadas a vulnerabilidades conhecidas, mas não corrigidas.

Pendência? Em um de nossos webinars recentes, conversamos com o especialista em segurança cibernética Thomas Baasnes sobre como deve ser um programa eficaz de gerenciamento de patches.

Continue lendo para saber mais sobre:

  • Como Thomas avalia a política de patches de uma empresa
  • Por que é difícil implementar um programa de patch
  • É melhor terceirizar a aplicação de patches ou fazê-la internamente?
  • Como a tecnologia de gerenciamento de patches pode ajudar

Ingredientes de um programa de patch saudável

Thomas é o Diretor de Segurança Cibernética da Verdane, uma empresa líder de private equity com sede em Oslo, Noruega. Sempre que a Verdane investe em uma empresa, Thomas realiza uma auditoria prévia de sua postura de segurança cibernética. Naturalmente, Verdane não gostaria de investir grandes quantias em uma empresa com segurança precária e que poderia enfrentar uma violação de dados e multas altas.

Durante nosso webinar, perguntamos a Thomas como criar um programa de patches eficaz. Ele explicou que, ao realizar a due diligence em uma empresa, as seguintes perguntas são feitas.

Você planejou tudo?

Se estou fazendo uma due diligence em uma empresa, primeiro pergunto se eles realmente planejaram tudo o que precisa ser corrigido.

Thomas Baasnes

Como diz o ditado, se você não pode medir, não pode gerenciar, e isso certamente se aplica ao patching. Sem uma visão completa de todos os dispositivos e aplicativos conectados à rede, é impossível saber seu status ou se eles estão vulneráveis.

A maneira mais fácil de realizar esse tipo de inventário é usar um software de mapeamento de rede. Isso fará uma varredura em sua rede para encontrar todos os aplicativos (na nuvem e no local) e dispositivos (incluindo servidores, IoT e impressoras). O ideal é que você também escaneie esses sistemas para ajudar a identificar quando eles foram corrigidos pela última vez e qual versão eles têm.

Você tem procedimentos de correção em vigor?

Você tem procedimentos para [aplicar patches] e automatizou tudo o que pode ser automatizado?

Thomas Baasnes

Um programa eficaz de gerenciamento de patches requer uma abordagem clara, consistente e bem documentada. As empresas precisam de uma política que descreva os tempos e métodos de implantação de patches para garantir sua implementação.

Como Thomas ressalta, automatizar a aplicação de patches, na medida do possível, garante essa consistência. O uso de software de gerenciamento automatizado de patches garante a implantação eficiente de patches em diversas plataformas e softwares de terceiros.

Haverá algumas áreas que não poderão ser corrigidas automaticamente, como ambientes de produção. Por isso, também é importante lembrar de aplicar os patches manualmente.

Independentemente de como você aborda a aplicação de patches, Thomas enfatiza a importância de ser minucioso. Os procedimentos de aplicação de patches devem incluir:

  • Todos os pontos finais
  • Sistemas operacionais
  • Equipamento de rede
  • Servidores
  • Aplicações de terceiros
  • Seus próprios aplicativos internos

Você procura ativamente por vulnerabilidades?

Você usa ferramentas proativamente para encontrar vulnerabilidades em seus sistemas e tem uma boa maneira de avaliar sua gravidade?

Thomas Baasnes

Implementar atualizações regulares é uma boa base para aplicação de patches. Mas também é importante monitorar continuamente o ambiente para detectar riscos potenciais. Procurar proativamente por vulnerabilidades, avaliar seu nível de ameaça e implementar procedimentos para corrigi-las ajudará a fechar lacunas de segurança mais rapidamente.

Você tem uma pessoa responsável designada?

Alguém realmente obterá informações se um novo exploit de dia zero for divulgado… quem iniciará o processo de correção?

Thomas Baasnes

Os procedimentos de gerenciamento de patches e automação podem contribuir muito para manter seu ambiente seguro. Entretanto, um bom programa de patch sempre dependerá da experiência humana. É muito útil ter uma pessoa designada como responsável final pelo gerenciamento de patches. Essa pessoa deve operar o software de patch, mas também monitorar continuamente notícias relevantes para identificar novas vulnerabilidades.

Ingredients of a Healthy Patching Management Program min 686x1024 2

Obstáculos à aplicação de patches apropriados

Em teoria, manter os sistemas de uma organização atualizados pode parecer simples. Entretanto, na prática, implementar práticas adequadas de patch pode ser um grande desafio. Os comentários a seguir nos tópicos de segurança cibernética do Reddit demonstram isso.

Patch de reversão

Muitas vezes, se digo que algo precisa ser consertado, há resistência sobre se precisa ser consertado ou não.

Fonte – tosborne3

Este é, sem dúvida, um dos desafios mais comuns para profissionais de TI que buscam corrigir aplicativos e ferramentas. Muitos usuários finais não entendem por que seus dispositivos precisam ser atualizados, não querem perder tempo instalando patches ou têm medo de perder dados.

Como você pode lidar com a rejeição de adesivos?

    • Eduque seus colegas sobre quais patches os protegem
    • Comunique os benefícios da aplicação de patches (incluindo a melhoria da aparência do aplicativo)
    • Alterar políticas organizacionais, permitindo que você aplique patches quando necessário

 

Falta de tempo

O maior problema é que as equipes de suporte dizem que não têm tempo para aplicar patches ou corrigir configurações.

Fonte – ageoffri

Muitas organizações ainda aplicam patches manualmente em seus aplicativos e endpoints. Para fazer isso sem interromper o trabalho de todos, muitas vezes eles precisam fazer isso no fim de semana ou à noite. Como esperado, isso causa gargalos nos fluxos de trabalho de correção.

Como você pode lidar com a falta de tempo para aplicar adesivos?

Como Thomas explicou em nosso webinar, a automação é fundamental. Usando ferramentas de gerenciamento de patches e recursos, você pode implantar patches automaticamente. Muitas vezes, você pode configurá-los para instalar em horários ininterruptos (por exemplo, à noite).

Falta de responsabilização pelos patches

Tendo trabalhado com muitas organizações neste tópico, a principal discrepância é a relação entre responsabilidade e prestação de contas. Pedir, atribuir ou mesmo implorar não mudará a situação, a menos que esses dois aspectos sejam abordados no nível executivo.

Fonte – pm_sweater_kittens

Sem políticas claras sobre quem é responsável por aplicar patches e quando os usuários finais devem instalá-los, as pessoas simplesmente adiarão ou ignorarão as notificações de patches.

Como podemos lidar com a falta de responsabilização na aplicação de patches?

Ter uma política de patches apropriada e documentada é fundamental e requer aprovação da gerência. Os funcionários devem estar cientes de que recusar-se a aceitar atualizações em seus dispositivos ou aplicativos é inaceitável.

Também é fundamental, como Thomas explicou no webinar, ter uma pessoa designada responsável pela aplicação de patches. Essa pessoa deve ser responsável por manter a consistência na implantação de patches e deve ser capaz de impor a conformidade das políticas com seus colegas.

A grande complexidade da tecnologia

Oh! Por onde começar? Grandes volumes de ativos, todos com diferentes sistemas operacionais e tecnologias. Cobertura total de infraestrutura… Lacunas de cobertura. Desenvolvimento de detecções personalizadas para corrigir erros do fornecedor. Taxas extremamente altas de falsos positivos e positivos benignos de fornecedores… Priorizando vulnerabilidades para correção.

Fonte – mildlyincoherent

Para pequenas organizações ou startups com poucos dispositivos, o gerenciamento de patches pode ser relativamente simples. No entanto, para empresas grandes ou tradicionais, atualizar milhares de dispositivos e aplicativos em diferentes sistemas operacionais pode ser incrivelmente complexo e demorado. Além disso, alertas intermináveis ​​também podem levar à paralisia do patch.

Como lidar com a complexidade da tecnologia?

Como Thomas disse, tudo começa com uma auditoria e mapeamento completos de todos os dispositivos, aplicações e endpoints. Também ajuda ter as ferramentas certas. Software de gerenciamento de patches que verifica constantemente seu ambiente (incluindo local, nuvem, BYOD e todos os sistemas operacionais) pode tornar o processo mais fácil.

Você deve terceirizar seu programa de patches ou fazê-lo você mesmo?

Como mostram as discussões do Reddit mencionadas acima, executar um programa de patch por conta própria pode ser extremamente complexo e demorado. A alternativa é terceirizar a aplicação de patches para um provedor de serviços gerenciou. Isso é melhor ou é mais apropriado fazer você mesmo?

Para Thomas, as vantagens da terceirização são consideráveis:

Terceirizar seus recursos de detecção e resposta oferece muitas vantagens, e você deve entender o que isso implica fazer internamente. Isso não envolve apenas o custo da licença [para software de gerenciamento de patches], mas também envolve algum trabalho interno.

Em última análise, depende da situação específica da sua organização. Para algumas empresas, especialmente aquelas com relativamente poucos endpoints, menor risco e infraestrutura de TI bastante simples, implementar patches internamente pode ser acessível e eficaz. No entanto, empresas mais complexas, com pressões tecnológicas ou regulatórias mais complexas, geralmente se beneficiam de expertise externa.

As ferramentas que você precisa para um programa de patch saudável

Ninguém afirma que executar um programa de patch é fácil. Há muitas complexidades e desafios práticos, bem como custos e até obstáculos relacionados à cultura organizacional.

No entanto, com as ferramentas certas, implementar atualizações e monitorar sua rede se torna mais fácil. O software de gerenciamento de patches Heimdal oferece uma plataforma única e poderosa que:

  • Ele ajuda a mapear todos os endpoints, aplicativos e dispositivos na sua rede, o que fica visível em um painel central.
  • Monitora atualizações em todas as plataformas, sistemas operacionais, nuvem e sistemas locais.
  • Teste novos patches em um ambiente sandbox seguro baseado na nuvem e depois implante-os automaticamente conforme sua programação.

Saiba mais sobre nossa solução de gerenciamento de patches ou entre em contato conosco hoje mesmo para uma demonstração.

Você gostaria de ler

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle