0
0
Não acredito que o final de 2021 já está à vista, e olhando para trás, devo dizer que tivemos nossa parcela de eventos interessantes. Se eu tivesse que caracterizá-lo do ponto de vista da segurança, diria que este é o ano dos ataques à cadeia de suprimentos. Antes de janeiro, a maioria de nós raramente tinha ouvido esse termo, mas depois Solarwinds, Kaseya e outros estavam no noticiário e ouvimos ao longo do ano.
Atingindo um pouco mais perto de casa, todos nós tivemos que lidar com o PrintNightmare, incluindo as vulnerabilidades e a sequência de atualizações de software e alterações de configuração necessárias para lidar com isso. A notícia diminuiu, mas foi um tópico quente de discussão de junho a setembro. Vamos esperar por algumas semanas tranquilas para encerrar o ano durante as férias.
Mencionei no mês passado que a Agência de Segurança Cibernética e de Infraestrutura divulgou uma lista de cerca de 200 vulnerabilidades que precisavam ser abordadas por agências civis federais em apenas duas semanas curtas. Esta lista, parte da Diretiva Operacional Vinculativa 22-01: Reduzindo o Risco Significativo de Vulnerabilidades Exploradas Conhecidas, foi expandida e agora fornece prazos adicionais que chegam a maio de 2022 para que os adicionais sejam abordados.
Mas esta diretiva faz muito mais do que apenas exigir que os sistemas sejam atualizados para corrigir as vulnerabilidades. Parafraseando a diretiva, as agências impactadas também devem ter políticas em vigor para a) estabelecer um processo para gerenciar as vulnerabilidades, b) designar pessoal para gerenciar esse processo, c) identificar ações para executar o processo, d) estabelecer validação e aplicação do processo e e) fornecer rastreamento e relatórios do processo.
Embora existam vulnerabilidades mais antigas que datam de 2014, a maioria dessas vulnerabilidades é de 2020-2021 e a atualização de uma organização inteira pode levar meses de planejamento e execução se você não tiver uma infraestrutura eficiente de gerenciamento de patches.
Duas das melhores fontes de informação para tal infraestrutura podem ser encontradas no Center for Information Security (CIS) 18 Critical Security Controls e no NIST Cybersecurity Framework. Esses documentos podem ajudá-lo a combinar políticas, procedimentos e o software de sua escolha em um programa de segurança abrangente adaptado à sua organização. Você também pode optar por abordar taticamente uma função menor, como patch e correção, e adicionar lentamente outros aspectos, como gerenciamento de contas, recuperação de dados, recuperação de desastres e assim por diante.
Cada organização é única, mas as infraestruturas recomendadas pelo CIS e NIST fornecem um conjunto comum de definições e um conjunto abrangente de requisitos para trabalhar. Supondo que tenhamos algumas semanas tranquilas após a Patch Tuesday, reserve um momento para comparar seu programa com eles e ver como você se compara. Pode haver espaço para melhorias que você nunca considerou antes.
Prevejo uma terça-feira de remendo muito leve, pois já estamos na metade de dezembro e muitos fornecedores já lançaram suas atualizações para o mês.
Previsão de dezembro de 2021 Patch Tuesday
- Você acredita que houve apenas 22 CVEs associados ao Windows 11 e 29 nas atualizações do Windows 10 no mês passado? Espere um conjunto de luzes semelhante de CVEs abordados este mês no conjunto de sistemas operacionais Windows 10/11, legados e suportados pela ESU. Houve duas vulnerabilidades de dia zero e quatro divulgadas publicamente no mês passado, então fique atento a quaisquer novas lançadas este mês e dê prioridade a elas.
- Devemos fazer uma atualização do Adobe Acrobat e Reader. Eu não vi uma pré-notificação na página de Atualizações de Segurança deles, mas fique atento a versões de segurança para esses dois produtos na próxima semana. Houve apenas três atualizações de produtos, incluindo a Creative Cloud, lançadas no início de novembro, então podemos ver muitas atualizações de produtos em breve.
- A Apple lançou atualizações de segurança para watchOS e iOS no final de novembro. Podemos ver algumas atualizações de segurança para o macOS antes das férias.
- O Google lançou uma atualização de canal estável para o Chrome OS 96.0.4664.93, que abordou 22 vulnerabilidades. Betas foram lançados esta semana para Chrome iOS e Desktop 97 e 98, então espere um lançamento de canal estável na próxima semana ou duas.
- A Mozilla teve suas atualizações habituais de segurança pré-Patch Tuesday Week para Firefox 95, Firefox ESR 91.4 e Thunderbird 91.4 esta semana. O Firefox incluiu 13 correções de vulnerabilidade relatadas, das quais cinco foram classificadas como Altas. Nada de novo previsto na próxima semana.
Quero desejar a todos uma feliz temporada de férias e espero que você finalmente passe algum tempo de qualidade com parentes e amigos. Esteja seguro!
FONTE: HELPNET SECURITY