Um guia passo a passo para corrigir vulnerabilidades de software

Views: 133
0 0
Read Time:4 Minute, 40 Second

Simplifique seu processo de gerenciamento de patches

Primeiro, um aviso rápido. O gerenciamento adequado de patches depende de fatores importantes, como o tamanho de uma organização, a complexidade de um ambiente de TI, a criticidade dos sistemas e o número de recursos alocados para gerenciar tudo, portanto, planeje de acordo. Além disso, este conselho pressupõe que você já tenha algum tipo de solução ou função de gerenciamento de endpoint para implantar patches. Se não, esse é o primeiro passo.

Supondo que você tenha uma solução, a próxima etapa é avaliar e priorizar os patches .

Nem todas as vulnerabilidades são criadas igualmente, o que significa que nem todos os patches também são. Mas, como demonstraram vulnerabilidades como o WannaCry, a atualização atrasada pode ter consequências catastróficas. Portanto, é importante priorizar atualizações que tenham a maior gravidade de vulnerabilidades não substituídas e/ou a maior exposição para cada ambiente. Por exemplo, se você tiver uma atualização que afeta apenas alguns dispositivos entre mil e outra que afeta 80% dos dispositivos, mas ambos são críticos, concentre-se naquele que pode ter o maior impacto negativo e, em seguida, resolva os outros .

Depois que as atualizações críticas forem abordadas, planeje passar para os patches não críticos, que geralmente são atualizações de driver ou novo software que aprimora a experiência do usuário e priorize aqueles com base na importância para as operações comerciais.

Muitos usam o Common Vulnerability Scoring System (CVSS) para ajudar a priorizar as atualizações, o que é um bom ponto de partida. Apenas lembre-se de que muitas vulnerabilidades classificadas em um nível de gravidade médio são ignoradas – e posteriormente identificadas como a fonte de uma violação.

Depois de priorizar os tipos de atualizações, a próxima etapa é criar diretrizes para testá-las antes de entrarem em produção .

A última coisa que você quer fazer é quebrar o sistema. Comece pesquisando os critérios de cada atualização e identificando quais componentes requerem testes. Em seguida, instale cada atualização em pelo menos cinco dispositivos fora da rede para serem testados em relação a critérios de sucesso comprovados. Registre as evidências e peça a outra pessoa para revisá-las. Certifique-se de descobrir se a atualização possui um desinstalador e use-o para garantir a remoção completa e segura de programas desatualizados.

Se você é como a maioria das organizações, provavelmente planeja ter toneladas de atualizações/patches acontecendo o tempo todo. Mas quanto mais atualizações instaladas a qualquer momento aumenta o risco de interrupção do usuário final (ou seja, maior volume de dados que precisam ser baixados, tempos de instalação mais longos, reinicializações do sistema, etc.).

Portanto, a próxima etapa é avaliar a largura de banda do seu sistema , calcular o número total e o tamanho das atualizações em relação ao número total de dispositivos e tipos. Isso pode evitar sobrecargas do sistema. Em caso de dúvida, planeje começar com cinco atualizações e reavaliar a largura de banda.

Além disso, se você seguir as práticas recomendadas de gerenciamento de mudanças (como ITIL, Prince2 ou ServiceNow), é importante aderir a esses processos para relatórios e auditoria adequados. Eles geralmente exigem documentação sobre quais atualizações são necessárias, o impacto em um usuário, evidências de teste e cronogramas de ativação. A captura adequada desses dados por meio das etapas acima geralmente é necessária para aprovações oficiais, pois serve como uma única fonte de verdade.

Agora chegamos ao ponto de implantação . A próxima etapa é garantir que a implantação ocorra com segurança. Eu recomendo usar um calendário de gerenciamento de patches ao fazer solicitações de alteração e ao agendar ou revisar novas atualizações de patches. É aqui que você define as linhas de base para o número de atualizações a serem implantadas e em qual ordem. Isso deve utilizar as informações coletadas nas etapas anteriores. Depois que essa linha de base for definida, você poderá agendar a implantação e automatizar quando necessário.

Por fim, chegamos à etapa final: medir o sucesso . Isso pode ser tratado de várias maneiras. Por exemplo, pelo número de incidentes de suporte técnico registrados, pela facilidade com que o processo pode ser seguido ou repetido ou pelo número de relatórios positivos fornecidos por seus conjuntos de ferramentas. Mas, em última análise, o que importa é a implantação rápida, processos repetíveis simplificados, uma redução nos requisitos manuais e, no final, uma organização menos vulnerável a exploração.

Uma nota rápida sobre onde o patch geralmente dá errado

Acredite ou não, algumas organizações ainda permitem que os usuários tenham direitos de administrador local para aplicação de patches. Isso cria grandes superfícies de ataque, e a realidade é que nenhuma equipe de TI deve confiar nos usuários finais para correção (direitos gerais de administrador são muito arriscados).

Alguns também contam com ferramentas gratuitas, mas muitas vezes não oferecem toda a segurança necessária para aplicar patches. Eles também geralmente não fornecem os relatórios necessários para garantir que os sistemas sejam 100% corrigidos (ou seja, validação). E, finalmente, há uma dependência excessiva de atualizações automáticas. As atualizações automáticas podem fornecer uma falsa sensação de segurança e afetar a produtividade se forem acionadas durante o horário de trabalho.

Conclusão

Sejam grandes ou pequenas, as organizações continuam lutando com patches. Espero que este rápido guia passo a passo das principais considerações para o gerenciamento de patches ajude sua organização a criar uma nova estrutura ou otimizar uma existente.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS