0
0
A Microsoft abordou 33 CVEs no Windows 10 e 11 no mês passado , depois de quase três vezes esse número em julho. Mas, apesar da calmaria nos CVEs, eles forneceram novas atualizações de segurança para o Microsoft Exchange Server, .NET Framework e até mesmo para o SQL Server, portanto, havia muitos patches para distribuir.
Olhando para o futuro, existem vários eventos de fim de vida que você precisa planejar, mas antes de falarmos sobre as previsões, há alguns anúncios do governo que são de interesse.
NIST
Em 8 de agosto, o NIST anunciou que a versão 2.0 de seu Cybersecurity Framework está disponível e aberta para comentários. Isso segue rapidamente os passos da visualização do CVSS 4.0 do FIRST. Embora o CVSS 4.0 seja publicado por volta de 1º de outubro, o NIST está coletando comentários até 4 de novembro e publicará a versão final de seu documento no início de 2024.
Lançado originalmente em 2014, o CSF resistiu ao teste do tempo, mas com base num recente pedido de informação, era altura de uma atualização significativa. O anúncio apresentou três atualizações importantes com base nos comentários dos usuários. Quando lançado originalmente, o CSF deveria abranger apenas infraestruturas críticas, mas agora está focado em todos os tipos de ambientes.
Em segundo lugar, o NIST adicionou uma nova função de “governo” às cinco existentes – identificar, proteger, detectar, responder e recuperar. De acordo com o NIST, isto “abrange como uma organização pode tomar e executar as suas próprias decisões internas para apoiar a sua estratégia de segurança cibernética”. Isto ajuda as organizações a considerar o risco dos seus negócios e a priorizar as suas ações.
Finalmente, com base em pedidos de mais orientação sobre a implementação do CSF, o NIST adicionou o conceito de perfis para ajustar a estrutura para casos de uso específicos. Eles incluíram exemplos de como usar a estrutura de forma eficaz. O CSF também continua a fazer um bom trabalho de referência cruzada com outras estruturas, como o CIS Security Controls , a série ISO 27000 e outras. Se você é usuário do CSF, este é o momento de fazer comentários e garantir que ele continue atendendo às suas necessidades.
Conselho de Revisão de Segurança Cibernética de Segurança Interna
O Conselho de Revisão de Segurança Cibernética da Segurança Interna (CSRB) anunciou que está planejando sua terceira revisão este ano sobre ataques maliciosos a ambientes de computação em nuvem. Especificamente, eles “se concentrarão nas abordagens que o governo, a indústria e os provedores de serviços em nuvem (CSPs) devem empregar para fortalecer o gerenciamento de identidade e autenticação na nuvem”. Isso foi gerado em resposta à invasão do Microsoft Exchange Online no início deste ano. Este é um evento colaborativo entre o governo e a indústria para analisar o evento, determinar a causa raiz e fornecer recomendações com base nas lições aprendidas. O CSRB não tem autoridade reguladora ou de execução, mas será interessante ver que recomendações eles fornecem e as ações a jusante tomadas pelo governo e pela indústria.
Janelas 11 23H2
O Windows 11 23H2 está disponível para testadores com acesso ao Microsoft Beta Channel. E com esse lançamento em breve, o fim do Windows 11 21H2 também está prestes a acontecer. As últimas atualizações de segurança serão lançadas no próximo mês, na terça-feira de outubro. E não se esqueça, o Microsoft Server 2012/2012 R2 também entrará no Suporte Estendido de Segurança (ESU) depois de outubro – daqui a apenas um mês!
Planeje adequadamente para que você não fique preso em uma crise de tempo para atualizar. Em outro anúncio interessante, mas sutil da Microsoft, o Wordpad está sendo obsoleto e removido de versões futuras do sistema operacional. A Microsoft está recomendando o Word quando são necessários recursos robustos de edição e criatividade, e o Bloco de Notas para texto simples e documentos simples.
Previsão do Patch Tuesday de setembro de 2023
- A Microsoft provavelmente irá melhorar seu jogo nos CVEs abordados este mês, mas não espere a amplitude de atualizações que vimos no mês passado. Todas as atualizações do sistema operacional incluirão mais CVEs e veremos as atualizações habituais do Microsoft Office. Estamos nos aproximando lentamente do EOS em outubro para o Microsoft Server 2012, portanto, espere um esforço contínuo para maximizar os CVEs endereçados a cada mês.
- Finalmente tivemos uma grande atualização para o Acrobat e o Reader no mês passado, então duvido que teremos outra atualização para esses aplicativos em breve.
- Agosto foi um mês tranquilo para a Apple. Eles forneceram dois pequenos lançamentos para Ventura e WatchOS sem CVEs relatados. Eles geralmente fornecem atualizações de segurança na segunda metade do mês, portanto, fique atento a algumas atualizações importantes no final de setembro. E não se esqueça que o macOS Sonoma chegará ainda este ano. A versão beta está disponível.
- A partir do Chrome 116, o Chrome agora envia atualizações semanais do canal Stable, com construções de marcos importantes ainda chegando a cada 4 semanas. As atualizações de canal estável 116.0.5845.179 para Mac e Linux e 116.0.5845.179/.180 para Windows foram enviadas nesta terça-feira, então espere que a próxima seja lançada na terça-feira de patch na próxima semana.
- A Mozilla lançou sua última rodada de atualizações para Firefox, Firefox ESR e Thunderbird em 29 de agosto, então espere outra rodada de atualizações na próxima semana.
A próxima semana será uma terça-feira de patches movimentada com algumas atualizações potencialmente carregadas de CVE da Microsoft e alguns lançamentos populares de aplicativos de terceiros do Google e Mozilla. E não se esqueça de dar uma olhada no CSF 2.0 mais recente do NIST. Mesmo que você não tenha comentários sobre eles, isso pode fornecer informações sobre as melhorias do seu programa.
FONTE: HELP NET SECURITY