Criando um manual de gerenciamento de patches: 6 perguntas-chave

Views: 287
0 0
Read Time:5 Minute, 21 Second

À medida que os ataques cibernéticos continuam a crescer, as organizações enfrentam uma pressão crescente para proteger seus ativos e fechar a lacuna de vulnerabilidade de software. Infelizmente, muitas organizações ainda lutam para acertar no gerenciamento de patches. Na verdade, um estudo do Ponemon Institute descobriu que 42% das organizações que sofreram uma violação de dados sabiam que os patches estavam disponíveis, mas tiveram dificuldades para aplicá-los. Agora, mais do que nunca, ter o manual (ou estratégia) de gerenciamento de patches certo é crucial para proteger dados, funcionários, parceiros e os negócios em geral.

A realidade é que a criação de um manual de gerenciamento de patches forte depende de fatores importantes, como o tamanho de uma organização, a complexidade de um ambiente de TI, a criticidade de seus sistemas e o número de recursos alocados para gerenciar tudo isso. O sucesso depende de uma preparação adequada e de uma execução meticulosa.

À medida que as equipes de TI e segurança trabalham para criar (ou atualizar) um manual de gerenciamento de patches, elas devem fazer — e responder — essas seis perguntas-chave.

Pergunta #1: Quais atualizações devo instalar primeiro?

É importante classificar as atualizações. As organizações devem priorizar atualizações com a maior gravidade de vulnerabilidades não substituídas e a maior exposição em cada ambiente. Por exemplo, você pode despriorizar uma atualização que afeta um dispositivo de 5.000 e, em vez disso, priorizar a correção de uma vulnerabilidade que afeta 1.000 dispositivos. Enfrente as atualizações críticas primeiro, pois elas geralmente afetam a segurança, a privacidade e a confiabilidade dos principais sistemas.

Em seguida, passe para atualizações importantes que resolvam problemas não críticos ou ajudem a aprimorar a experiência de computação. Finalmente, as atualizações opcionais são mais ou menos uma escolha do revendedor. Isso pode incluir atualizações de drivers ou novos softwares para melhorar a experiência de computação. Embora a implementação dessas atualizações seja recomendada, elas podem não precisar acontecer nas primeiras 24 horas. Ainda assim, toda organização deve considerar a aplicação de todos os patches de vulnerabilidade.

Se você estiver lutando para avaliar os níveis de risco, considere aproveitar o Common Vulnerability Scoring System (CVSS) para ajudar a priorizar as atualizações. Ele mostra o nível de gravidade de uma vulnerabilidade de 0 a 10. As vulnerabilidades com uma pontuação base no intervalo 7.0-10.0 são altas (críticas), aquelas no intervalo 4.0-6.9 são médias (importantes) e 0.0-.3.9 são baixas (opcional).

Pergunta #2: Como posso testar essas atualizações antes de colocá-las em produção?

Ninguém quer quebrar seus sistemas. É por isso que muitas organizações testam antes de aplicar novos patches. Isso pode ser feito instalando cada atualização ausente em pelo menos cinco dispositivos a serem testados em relação a critérios de sucesso comprovados. Sempre registre as evidências, que devem ser revisadas de forma independente por alguém que não seja um testador para aprovação geral. Observe que, embora as equipes de TI e segurança possam ser tentadas, nunca use uma máquina interna (ou na rede) para testar atualizações. Descubra se a atualização tem um desinstalador e use-o para garantir a remoção completa e segura de programas desatualizados. Leve esse processo em etapas. Primeiro, pesquise os critérios potenciais de cada atualização, depois identifique quais componentes exigem teste e, em seguida, compare com seus critérios de sucesso predeterminados.

Pergunta #3: Quantas atualizações devo instalar de uma só vez?

Quanto mais atualizações instaladas em um determinado momento, maior o risco de interrupção do usuário final. Por exemplo, quanto mais atualizações forem necessárias em um sistema, maior será o volume de dados que precisam ser baixados para o dispositivo e maior será o tempo de instalação resultante. Além disso, às vezes, as atualizações exigem uma reinicialização e, quando muitas atualizações são implantadas juntas como parte de um patch, isso pode desencadear várias reinicializações independentes, aumentando assim a interrupção do usuário final. Para avaliar a largura de banda de um sistema para atualizações, calcule o número total e o tamanho das atualizações ausentes em relação ao número total de dispositivos por tipo de dispositivo. Isso evitará sobrecargas do sistema e interrupções indesejadas. A regra geral é começar com cinco atualizações e, em seguida, reavaliar a largura de banda.

Pergunta #4: Como o gerenciamento de mudanças pode ser mais fácil?

Se você segue o Prince2, as práticas recomendadas do ServiceNow ou as práticas recomendadas da ITIL, o gerenciamento de alterações normalmente requer documentação sobre quais atualizações são necessárias, o impacto no usuário, evidências de testes e agendamentos de entrada em operação. Sem esses dados, um processo oficial de aprovação não pode ser seguido. Dentro de grandes organizações, o gerenciamento de mudanças é a única fonte de verdade para as mudanças aprovadas, portanto, manter relatórios adequados sobre essas alterações torna o processo mais fácil e auditável.

Pergunta #5: Como implantar minhas atualizações com segurança?

Criar um calendário de gerenciamento de patches é uma etapa crucial na criação de um playbook. Ele deve ser usado ao fazer solicitações de alteração e ao agendar ou revisar novas atualizações de patch. Em seguida, trabalhe para definir linhas de base para o número de atualizações a serem implantadas de uma só vez e em que ordem (e verifique o processo de gerenciamento de alterações). Isso deve ser baseado nas respostas das perguntas anteriores sobre gravidade e largura de banda e ser anexado mensalmente. Depois que essa linha de base estiver definida, agende a implantação e automatize quando necessário.

Pergunta #6: Como faço para avaliar o sucesso da minha cartilha?

O sucesso pode ser medido de várias maneiras. Por exemplo, pelo número de incidentes gerados ao suporte técnico após a implantação, pela facilidade com que o processo pode ser seguido ou repetido ou pelo número de relatórios positivos gerados por meio do conjunto de ferramentas que você pode estar usando. Em última análise, o principal critério para o sucesso é a rápida implantação e atualização de patches em todo o ambiente, seguida por um processo simplificado que reduz os requisitos manuais para manter uma organização segura.

O gerenciamento de patches continua sendo um desafio para organizações grandes e pequenas. Mas, como a lacuna de vulnerabilidade continua a persistir, as equipes de TI e segurança podem desempenhar um papel importante na redução de sua superfície de ataque, implementando ótimos manuais de gerenciamento de patches. Ser capaz de responder a essas seis perguntas é uma parte importante desse processo.

FONTE: DARK READING

POSTS RELACIONADOS