Menu

Estatísticas de patches de software: práticas comuns e vulnerabilidades

Quer saber sobre estatísticas de patches de software e qual é o estado atual das atualizações? É aqui que você encontrará todos os dados relevantes assim que os especialistas os revelarem.

Sem dúvida, as dificuldades e atrasos na aplicação de patches de software ainda são uma das maiores ameaças para as empresas atualmente. Aplicativos e softwares sem a atualização mais recente são alguns dos alvos mais fáceis para qualquer hacker que queira se infiltrar em uma organização.

Os especialistas continuam dizendo isso repetidamente, mas as pessoas têm dificuldade em acessar essas atualizações intermináveis de software. É uma questão de priorização e uma questão de dificuldade (na ausência de uma ferramenta que possa automatizar com sucesso a aplicação de patches de software).

Por que a aplicação de patches de software é importante, em estatísticas e dados:

  • A Microsoft relata que a maioria de seus clientes é violada por meio de vulnerabilidades que tiveram patches lançados anos atrásRelatório de Inteligência de Segurança da Microsoft, 2015.
  • 80% das empresas que tiveram uma violação de dados ou uma falha na auditoria poderiam ter evitado corrigindo a tempo ou fazendo atualizações de configuração – pesquisa da Voke Media, 2016.
  • Após uma violação ou falha na auditoria, quase metade das empresas (46%) levou mais de 10 dias para remediar a situação e aplicar patches, porque a implantação de atualizações em toda a organização pode ser difícil – pesquisa da Voke Media, 2016.
  • Malware e ransomware devastadores que poderiam ter sido evitados corrigindo o software a tempo: WannaCry, NotPetya, SamSam.
  • 58% das organizações são executadas em “sistemas legados” – plataformas que não são mais suportadas com patches, mas que ainda seriam muito caras para substituir em um futuro próximo – 0patch Survey Report, 2017.
  • 20% de todas as vulnerabilidades causadas por software não corrigido são classificadas como de alto risco ou críticas – Edgescan Stats Report, 2018.
  • O tempo médio para as organizações fecharem uma vulnerabilidade descoberta (causada por software e aplicativos não corrigidos) é de 67 diasRelatório de estatísticas do Edgescan, 2018.
  • 18% de todas as vulnerabilidades no nível da rede são causadas por aplicativos não corrigidos – Apache, Cisco, Microsoft, WordPress, BSD, PHP, etc. – Relatório de estatísticas do Edgescan, 2018.
  • 37% das organizações admitiram que nem sequer verificam vulnerabilidades – Relatório Ponemon, 2018.
  • 64% das organizações dizem que planejam contratar mais pessoas para a equipe de resposta a vulnerabilidades, embora o número médio de funcionários seja de 28, representando cerca de 29% de todos os recursos humanos de segurança Ponemon State of Vulnerability Report, 2018.
  • Ainda assim, isso é algo conhecido na indústria como o ‘paradoxo do patch’ – contratar mais pessoas não tornará as vulnerabilidades de software mais fáceis de lidar – Ponemon State of Vulnerability Report, 2018.
  • Desde 2002, o número total de vulnerabilidades de software cresceu ano a ano aos milhares. O ano de pico parece ter sido 2018 por enquanto, mas os números continuam subindo – relatório da ENISA para 2018.
  • Em 2019, apenas 42% dos entrevistados de um estudo feito pela Kaseya disseram que automatizaram ou planejavam automatizar o gerenciamento de patches. 
  • 47% dos entrevistados do estudo Kaseya de 2019 disseram que verificam regularmente todos os seus servidores e estações de trabalho em busca de patches de software de terceiros e 42% disseram que aplicam os patches críticos “dentro de 30 dias após o lançamento”.

Por que a aplicação de patches de software é tão difícil?

A principal razão pela qual a aplicação de patches é difícil é que as atualizações manuais (ou a coordenação manual das atualizações) levam um tempo horrível.

De acordo com o estudo do Ponemon Institute para 2018:

  • Mais da metade de todas as empresas (55%) dizem que, quando se trata de patches, gastam mais tempo navegando manualmente nos vários processos envolvidos do que realmente corrigindo vulnerabilidades;
  • Em média, leva 12 dias para as equipes coordenarem a aplicação de um patch em todos os dispositivos;
  • A maioria das empresas (61%) sente que são desvantagens por confiar em processos manuais para aplicar patches de software;
  • Quase dois terços de todas as empresas (65%) dizem que atualmente é muito difícil para elas decidir corretamente sobre o nível de prioridade de cada patch de software (também conhecido como qual atualização é de importância crítica e deve ser aplicada primeiro).

Considerando que não faz sentido para a maioria das organizações ter especialistas em segurança realmente bem treinados em sua folha de pagamento, faz sentido ter dificuldades ao priorizar patches. Na melhor das hipóteses, os profissionais de segurança e TI definem prioridades simplesmente seguindo a pontuação do CVSS.

Embora essa pontuação para a importância do patch seja confiável, as organizações que implementam a automação de patches de software ainda estão em melhor situação em termos de segurança e tempo gasto.

Por que as empresas optam por adiar a aplicação de patches e atualizações de software?

Não é só que é difícil. Alguns gerentes não querem aplicar os patches.

As organizações não estão atrasadas na aplicação de patches apenas porque leva tempo; Alguns gerentes relutam em aplicar os patches por outros motivos. De acordo com o Relatório de Pesquisa 0patch, 2017:

  • 88% dizem que aplicariam patches mais rapidamente se tivessem a opção de desfazer o patch rapidamente, se necessário;
  • 79% dizem que desacoplar os patches de segurança dos funcionais os ajudaria a aplicar patches de segurança mais rapidamente;
  • 72% dos gerentes têm medo de aplicar patches de segurança imediatamente porque podem ‘quebrar coisas’;
  • 52% dos gerentes dizem que não querem as mudanças de funcionalidade que vêm com a correção de segurança.

Ainda mais preocupante é que nem todos estão cientes de como pode ser perigoso atrasar. Uma das estatísticas de patches de software mais desconcertantes do ano passado vem do relatório do Ponemon Institute para 2019, novamente. Segundo eles, apenas 39% das organizações estão cientes de que as violações reais estão ligadas a vulnerabilidades conhecidas.

Claro, não querer o incômodo de atualizar software ou sistema é uma atitude legítima, embora muito perigosa. Mas só é um incômodo se você planeja atualizá-lo sozinho, manualmente.

E os últimos dois anos, no entanto?

  • No ano revolucionário de 2020, três em cada quatro violações de dados foram causadas por patches ausentes ou mal configurados, e as empresas acharam ainda mais difícil gerenciar os patches corretamente devido a escritórios remotos, alta mobilidade dos funcionários e falta de visibilidade dos endpoints. 
  • O trabalho remoto fez com que os participantes pesquisados ficassem ainda menos confiantes sobre a higiene cibernética de seus endpoints – o que sugere que eles ainda dependem principalmente de patches manuais ou ferramentas que não podem ser eficazes em ambientes remotos ou em nuvem. 
  • O relatório TuxCare de 2021 mostrou que a maioria (76%) de seus entrevistados (administradores de sistemas, profissionais de DevOps, administradores de rede, gerentes de segurança de TI, diretores de informações) finalmente se voltou para o gerenciamento automatizado de patches. 
  • O mesmo estudo também mostrou quais são os recursos mais importantes que uma ferramenta de gerenciamento de patches deve ter: “resposta rápida a novos CVEs”, “aplicação de patches ao vivo de todos os componentes sem tempo de inatividade”, “relatórios completos”, “relatórios automatizados”. 
  • Outro aspecto aprimorado revelado pelo relatório TuxCare de 2021 é que os procedimentos de patch ocupavam menos de duas horas por semana na maioria dos setores – bancário, financeiro, agricultura, educação, transporte, logística, saúde, serviços profissionais. 

Como diz um relatório da Market Data Forecast, “espera-se que o tamanho do mercado global de gerenciamento de patches cresça US$ 1084 milhões até 2026, de US$ 652 milhões em 2021, crescendo a um CAGR de 10,7% entre 2021 e 2026”. Esta é uma notícia incrível, mostrando uma direção clara e interesse em fechar vulnerabilidades e proteger endpoints. 

Nossas próprias estatísticas de patch de software:

Temos centenas de milhares de endpoints corporativos que são mantidos seguros e atualizados por meio de nossa solução de automação de gerenciamento de patches, o Heimdal™ Patch & Asset Management. Embora nossos tempos rápidos de resposta e implementação nos permitam mantê-los atualizados a uma taxa muito mais alta em comparação com os benchmarks do setor, ainda há insights interessantes a serem obtidos de nossos dados.

Isto é o que podemos nos orgulhar:

  • Um novo patch chega aos endpoints protegidos com nosso sistema de gerenciamento de patches dentro de 4 horas desde que foi lançado (se o endpoint estiver disponível para recebê-lo);
  • Ao aplicar automaticamente os patches, a tecnologia Heimdal™ Patch & Asset Management fecha efetivamente todas as possíveis vulnerabilidades do sistema em um ambiente corporativo, eliminando cerca de 85% de todos os vetores de ataque possíveis;
  • No momento, o sistema de gerenciamento de patches Heimdal™ Patch & Asset Management cobre mais de 140 dos softwares e aplicativos mais comuns, com vários aplicativos e softwares sendo adicionados à lista todos os anos.

Resumindo:

Se há uma coisa que as estatísticas mais recentes de patches de software refletem, é que o campo pode ser muito não homogêneo. Algumas organizações reagem mais rápido aos patches, mas demoram muito para aplicá-los ou aplicá-los na ordem incorreta. Outros têm procedimentos de atribuição complicados, mas uma vez que um patch é definido para ser aplicado, ele é rápido e suave. Alguns aplicam apenas atualizações críticas do sistema e rejeitam completamente outros patches para evitar alterações de funcionalidade, mesmo que isso os coloque em algum risco.

O resultado final é que, seja qual for o sabor único da sua organização, sabemos que os patches podem ser esmagadores de uma forma ou de outra. É por isso que aproveitamos o poder de dimensionamento da tecnologia para ajudar a manter nossos clientes cobertos com todos os patches de software e zero inconvenientes.

Nosso Heimdal™ Patch & Asset Management lidará com todas as atualizações e patches de software dentro de 4 horas desde o seu lançamento, silenciosamente, em segundo plano, sem interrupções. 

Você pode configurá-lo e esquecê-lo, como gostamos de dizer, ou definir algumas preferências (como o direito de excluir atualizações de um aplicativo ou categoria, ou ser solicitado antes de aplicar um patch em todos os endpoints de sua organização, ou a possibilidade de implantar e corrigir seu próprio software personalizado por meio da plataforma). Certifique-se de solicitar uma demonstração e experimentá-la! 

Você gostaria de ler

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle