Previsão do Patch Tuesday de setembro de 2023: notícias importantes do governo federal

Views: 136
0 0
Read Time:4 Minute, 59 Second

A Microsoft abordou 33 CVEs no Windows 10 e 11 no mês passado , depois de quase três vezes esse número em julho. Mas, apesar da calmaria nos CVEs, eles forneceram novas atualizações de segurança para o Microsoft Exchange Server, .NET Framework e até mesmo para o SQL Server, portanto, havia muitos patches para distribuir.

Olhando para o futuro, existem vários eventos de fim de vida que você precisa planejar, mas antes de falarmos sobre as previsões, há alguns anúncios do governo que são de interesse.

NIST

Em 8 de agosto, o NIST anunciou que a versão 2.0 de seu Cybersecurity Framework está disponível e aberta para comentários. Isso segue rapidamente os passos da visualização do CVSS 4.0 do FIRST. Embora o CVSS 4.0 seja publicado por volta de 1º de outubro, o NIST está coletando comentários até 4 de novembro e publicará a versão final de seu documento no início de 2024.

Lançado originalmente em 2014, o CSF ​​resistiu ao teste do tempo, mas com base num recente pedido de informação, era altura de uma atualização significativa. O anúncio apresentou três atualizações importantes com base nos comentários dos usuários. Quando lançado originalmente, o CSF ​​deveria abranger apenas infraestruturas críticas, mas agora está focado em todos os tipos de ambientes.

Em segundo lugar, o NIST adicionou uma nova função de “governo” às cinco existentes – identificar, proteger, detectar, responder e recuperar. De acordo com o NIST, isto “abrange como uma organização pode tomar e executar as suas próprias decisões internas para apoiar a sua estratégia de segurança cibernética”. Isto ajuda as organizações a considerar o risco dos seus negócios e a priorizar as suas ações.

Finalmente, com base em pedidos de mais orientação sobre a implementação do CSF, o NIST adicionou o conceito de perfis para ajustar a estrutura para casos de uso específicos. Eles incluíram exemplos de como usar a estrutura de forma eficaz. O CSF também continua a fazer um bom trabalho de referência cruzada com outras estruturas, como o CIS Security Controls , a série ISO 27000 e outras. Se você é usuário do CSF, este é o momento de fazer comentários e garantir que ele continue atendendo às suas necessidades.

Conselho de Revisão de Segurança Cibernética de Segurança Interna

O Conselho de Revisão de Segurança Cibernética da Segurança Interna (CSRB) anunciou que está planejando sua terceira revisão este ano sobre ataques maliciosos a ambientes de computação em nuvem. Especificamente, eles “se concentrarão nas abordagens que o governo, a indústria e os provedores de serviços em nuvem (CSPs) devem empregar para fortalecer o gerenciamento de identidade e autenticação na nuvem”. Isso foi gerado em resposta à invasão do Microsoft Exchange Online no início deste ano. Este é um evento colaborativo entre o governo e a indústria para analisar o evento, determinar a causa raiz e fornecer recomendações com base nas lições aprendidas. O CSRB não tem autoridade reguladora ou de execução, mas será interessante ver que recomendações eles fornecem e as ações a jusante tomadas pelo governo e pela indústria.

Janelas 11 23H2

O Windows 11 23H2 está disponível para testadores com acesso ao Microsoft Beta Channel. E com esse lançamento em breve, o fim do Windows 11 21H2 também está prestes a acontecer. As últimas atualizações de segurança serão lançadas no próximo mês, na terça-feira de outubro. E não se esqueça, o Microsoft Server 2012/2012 R2 também entrará no Suporte Estendido de Segurança (ESU) depois de outubro – daqui a apenas um mês!

Planeje adequadamente para que você não fique preso em uma crise de tempo para atualizar. Em outro anúncio interessante, mas sutil da Microsoft, o Wordpad está sendo obsoleto e removido de versões futuras do sistema operacional. A Microsoft está recomendando o Word quando são necessários recursos robustos de edição e criatividade, e o Bloco de Notas para texto simples e documentos simples.

Previsão do Patch Tuesday de setembro de 2023

  • A Microsoft provavelmente irá melhorar seu jogo nos CVEs abordados este mês, mas não espere a amplitude de atualizações que vimos no mês passado. Todas as atualizações do sistema operacional incluirão mais CVEs e veremos as atualizações habituais do Microsoft Office. Estamos nos aproximando lentamente do EOS em outubro para o Microsoft Server 2012, portanto, espere um esforço contínuo para maximizar os CVEs endereçados a cada mês.
  • Finalmente tivemos uma grande atualização para o Acrobat e o Reader no mês passado, então duvido que teremos outra atualização para esses aplicativos em breve.
  • Agosto foi um mês tranquilo para a Apple. Eles forneceram dois pequenos lançamentos para Ventura e WatchOS sem CVEs relatados. Eles geralmente fornecem atualizações de segurança na segunda metade do mês, portanto, fique atento a algumas atualizações importantes no final de setembro. E não se esqueça que o macOS Sonoma chegará ainda este ano. A versão beta está disponível.
  • A partir do Chrome 116, o Chrome agora envia atualizações semanais do canal Stable, com construções de marcos importantes ainda chegando a cada 4 semanas. As atualizações de canal estável 116.0.5845.179 para Mac e Linux e 116.0.5845.179/.180 para Windows foram enviadas nesta terça-feira, então espere que a próxima seja lançada na terça-feira de patch na próxima semana.
  • A Mozilla lançou sua última rodada de atualizações para Firefox, Firefox ESR e Thunderbird em 29 de agosto, então espere outra rodada de atualizações na próxima semana.

A próxima semana será uma terça-feira de patches movimentada com algumas atualizações potencialmente carregadas de CVE da Microsoft e alguns lançamentos populares de aplicativos de terceiros do Google e Mozilla. E não se esqueça de dar uma olhada no CSF ​​2.0 mais recente do NIST. Mesmo que você não tenha comentários sobre eles, isso pode fornecer informações sobre as melhorias do seu programa.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS