0
0
Quase todos os ativos digitais que uma organização usa para garantir que a produtividade contínua dependa de software. Por exemplo, o hardware, incluindo servidores e roteadores, requer firmware ou sistemas operacionais. Aplicativos, mesmo nativos da nuvem, aproveitam o código para funcionar. O movimento para a transformação digital incorpora ativos digitais, como funções sem servidor e cargas de trabalho, todos os quais consistem em código. Esses ativos digitais são muitas vezes deixados vulneráveis porque seu código pode ter problemas de codificação que os deixam abertos a ataques cibernéticos.
Para reduzir as vulnerabilidades, as empresas precisam empregar as melhores práticas de patch cadence e gestão.
O que é Patch Cadence?
A cadência de patches refere-se à frequência com que uma organização revisa sistemas, redes e aplicativos para atualizações que remediam vulnerabilidades de segurança. Cada ponto final, seja um servidor ou um dispositivo móvel, é executado em software criado por código que pode criar backdoors que os cibercriminosos usam para ter acesso ao ecossistema de TI de uma organização.
Quais são os riscos de cibersegurança relacionados à correção da cadência?
Um grande número de ataques cibernéticos surge de vulnerabilidades comumente conhecidas, conforme estabelecido na lista De Vulnerabilidades e Exposições Comuns (CVE). Esta lista consiste em vulnerabilidades de software compartilhadas publicamente, o que significa que os cibercriminosos sabem que eles existem e procuram explorá-los. De acordo com um artigo recente do CSOOnline, vulnerabilidades para as quais existia um patch de segurança levaram a 60% das violações de dados.
Em maio de 2020, a Agência de Segurança cibernética e segurança da informação (CISA) lançou “Alert (AA20-133A) Top Ten Routinely Exploited Vulnerabilities” que incluíram as dez vulnerabilidades mais exploradas para o período 2016-2019, bem como as principais vulnerabilidades exploradas em 2020. A lista dos dez melhores inclui vulnerabilidades para:
- Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 Produtos
- Apache Struts 2.3.x antes de 2.3.32 e 2.5.x antes de 2.5.10.1
- Microsoft SharePoint
- Adobe Flash Player antes de 28.0.0.161
- Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 e 4.7
Vulnerabilidades adicionais se aplicam a várias instâncias do Microsoft Office, Drupal, Pulse Connect Secure e Citrix.
O que é um processo de gerenciamento de patches?
Estabelecer um processo de gerenciamento de patches atua como um dos controles mais importantes que as organizações podem usar para evitar um ataque cibernético. Um processo de gerenciamento de patches envolve a criação de políticas e processos para descobrir, remediar e documentar a instalação de patches de segurança em sistemas, redes e software de uma empresa de TI.
Os processos de gerenciamento de patches permitem que os departamentos de TI priorizem e coordenem respostas a vulnerabilidades, mitigando os riscos mais prevalentes de cibersegurança.
O que são as melhores práticas de patch cadence e gerenciamento?
Em sua maioria, o prazo de prática recomendada para a instalação de patches de segurança permanece o mesmo há quase dez anos. Mesmo no mais recente rascunho público atualizando o National Institute of Standards and Technology (NIST) a publicação especial 800-53 faz referência ao“Guia para Tecnologias de Gerenciamento de Patches Corporativos” de2013 .” De um modo geral, as melhores práticas sugerem a instalação de patches de segurança críticos dentro de 30 dias após sua liberação com 90 dias como a borda externa da linha do tempo. No entanto, como as organizações muitas vezes lutam para detectar todos os serviços em suas redes e patches de segurança podem causar inatividade para sistemas críticos, muitas empresas precisam formalizar os processos e aproveitar as tecnologias de gerenciamento de patches.
Identifique todos os sistemas, redes e softwares
Semelhante ao processo de avaliação de riscos, o primeiro passo para estabelecer um processo de gerenciamento de patches é identificar todos os pontos finais que precisam ser monitorados. As organizações não podem se proteger contra riscos que não conhecem. O engajamento na identificação e gerenciamento regular de ativos permite uma cadência de patching mais robusta.
Categorizar por risco
Depois de identificar todos os ativos digitais, as organizações precisam criar uma lista dos locais e dados de maior risco. Esse processo de categorização ajuda os departamentos de TI a priorizar o gerenciamento de patches, dando-lhes ativos de visibilidade que os cibercriminosos mais visam.
Estabeleça uma política de gerenciamento de patches
Assim como uma política de segurança cibernética, a política de gerenciamento de patches atua como documentação provando que a organização formalizou processos para gerenciamento de patches de segurança. A política deve incluir informações como sistemas críticos, diretrizes de monitoramento, processos de teste e tempo.
Monitor para vulnerabilidades recém-relatadas
O monitoramento contínuo continua sendo uma parte primária do gerenciamento de patches, pois faz qualquer esforço de segurança cibernética. De acordo com o site CVE Details, 12.174 novos CVEs foram publicados apenas em 2019. 1.062 desses CVEs recém-publicados foram classificados de Alto Risco, com pontuação de 9 ou mais.
Aproveitar a automação
O número esmagador de alertas e atualizações torna os processos manuais em risco de erro humano. Nenhuma equipe de TI pode gerenciar a análise da constante barragem de ameaças para garantir segurança e conformidade contínuas. Sistemas automatizados de monitoramento de vulnerabilidades ajudam a priorizar esses tipos de riscos, garantindo atualizações mais consistentes e melhor gerenciamento de riscos. As organizações podem escolher entre uma ampla variedade de técnicas, incluindo varredura baseada em agentes, varredura sem agentes e monitoramento passivo da rede. Embora a varredura baseada em agentes e sem agentes possa ser a solução mais abrangente, elas também exigem privilégios administrativos em hosts, o que aumenta a superfície de ataque. Com credenciais privilegiadas cada vez mais um alvo cibernético, incorporar o monitoramento passivo da rede em uma abordagem holística para o gerenciamento de patches fornece uma superfície de ameaça reduzida, ao mesmo tempo em que suporta hosts e aparelhos não gerenciados.
Patches de teste
Antes de aplicar a atualização de segurança, as organizações devem aplicar o patch a uma amostra de ativos antes de liberá-los em todo o ambiente de produção. Esse processo, embora demorado, garante a pós-atualização.
Aplique patches
Depois de determinar os patches mais importantes e testar sua eficácia, o próximo passo é aplicar os patches e proteger os ativos.
Processos de auditoria e métricas de relatórios
O passo final antes de passar para o ciclo contínuo de iteração do gerenciamento de patches é participar de uma auditoria e reportar sobre métricas-chave. As principais métricas para relatar a eficácia de um programa de gerenciamento de patches incluem:
- Quanto do ecossistema de TI um patch garante
- Quão rapidamente a organização aplicou os patches
- Quanto tempo de inatividade ocorreu durante o processo de implantação do patch
- Se o processo de patches cumpriu os mandatos de conformidade normativos e padrão do setor
O SecurityScorecard permite práticas recomendadas de gerenciamento de patches de segurança
A plataforma de classificação de segurança do SecurityScorecard inclui a correção de cadências como um de seus dez grupos de fatores de risco. Nossa plataforma se engaja no monitoramento passivo da rede, dando às organizações uma visão externa da eficácia de seus controles.
Monitoramos e alertamos continuamente as organizações para novos riscos, incluindo atualizações de patches de segurança de alto risco e fornecemos visibilidade rápida da postura de segurança dos clientes usando uma escala de classificação A-F fácil de ler.
Como parte do nosso fator de risco de cadência de patches, incorporamos uma revisão de sistemas operacionais, serviços, aplicativos, software e hardware para uma abordagem holística ao gerenciamento externo de patches.
FONTE: SECURITY SCORECARD