A aplicação de patches continua sendo uma tarefa difícil para muitas organizações, mas é fundamental para a segurança. Descubra 5 práticas recomendadas de gerenciamento de patches para 2023.
Nem todos os patches são iguais, explicou Robert Brown, diretor de sucesso do cliente da Syxsense. Alguns são estritamente atualizações que introduzem novos recursos, drivers ou firmware. Outros patches corrigem problemas, como falhas de software ou brechas de segurança.
As agências de segurança cibernética e os sistemas de classificação de fornecedores classificam os patches com base em sua importância. O Common Vulnerability Scoring System (CVSS), por exemplo, dá uma pontuação de 1 a 10, sendo que as classificações mais altas são as mais graves. Alguns sistemas de gerenciamento de patches usam as pontuações do CVSS, enquanto outros incorporam outras métricas e avaliam uma vulnerabilidade em relação ao risco que ela representa para um negócio ou aplicativo específico.
As atualizações críticas oferecem um benefício significativo: maior segurança, melhor privacidade ou maior confiabilidade. As atualizações classificadas como importantes, mas não críticas, ainda assim aprimoram o sistema; os patches opcionais geralmente estão relacionados a drivers ou novos softwares.
“Diferentes fornecedores classificam as coisas de forma diferente”, disse Brown. “Como um fornecedor pode classificar um patch como crítico e outro como não crítico, é melhor levar em conta vários fatores.”
A Syxsense fornece um “Syxscore”, que se baseia na superfície de ataque de uma organização com vulnerabilidades e postura de endpoint. Ele aproveita as avaliações de gravidade do National Institute of Standards and Technology e do fornecedor em relação ao status de integridade dos endpoints em um ambiente.
“O Syxscore é uma avaliação personalizada de quais dispositivos são vulneráveis e da importância das atualizações para a proteção geral da sua rede, o que lhe dá a capacidade de direcionar os endpoints que apresentam os níveis mais graves de risco”, disse Brown.
Brown ofereceu algumas dicas sobre o gerenciamento de patches, descritas abaixo.
- Não negligencie os patches de terceiros
Muitas empresas tendem a ativar as atualizações do Windows e da Apple e acreditam que estão cobertas. No entanto, elas estão perdendo muitos patches de código aberto e de terceiros que podem representar uma exposição grave.
“As atualizações de terceiros são responsáveis por 75% a 80% de todas as vulnerabilidades”, disse Brown.
- Implemente a automação de patches
Quando as organizações começam a se deparar com vulnerabilidades de terceiros, o volume de patches pode logo se tornar esmagador. Algumas tentam lidar manualmente com todos os patches de fornecedores que chegam até elas, mas isso as deixa em maus lençóis, pois precisam testar cada um deles, descobrir a melhor sequência de implementação e cronometrar a entrega dos patches para evitar sobrecarregar a rede.
A automação de patches baseada na nuvem é a resposta. O fornecedor cuida da priorização, dos testes, da implementação de patches e da verificação de um patch bem-sucedido.
Brown aconselhou as empresas a estabelecerem primeiro suas necessidades exatas e escolherem um conjunto de ferramentas de gerenciamento de patches adequado. Ao aproveitar todos os recursos de automação disponíveis, a equipe de TI e de segurança terá tempo para se dedicar a projetos mais estratégicos.
- Identificar todos os dispositivos
Um dos maiores problemas na aplicação de patches é garantir que você cubra todos os sistemas e dispositivos. Os criminosos cibernéticos só precisam de um aplicativo ou dispositivo sem patch para causar estragos.
Além disso, nem todos os scanners de patches e vulnerabilidades são iguais. Alguns não detectam smartphones, outros operam de forma específica do sistema e muitos são fracos quando se trata de aplicativos de backup e armazenamento.
- Teste e implemente com cuidado
Brown também explicou a melhor maneira de testar e implantar patches: Para começar, alguns sistemas devem ser usados para criar uma linha de base inicial para a implementação de patches. Esses dispositivos são usados para verificar se o patch está instalado corretamente e se não há problemas.
A partir daí, faça a implementação em um conjunto maior de dispositivos, que deve incluir máquinas de diferentes departamentos. É necessário ter um ou dois dispositivos nos departamentos de TI, finanças, marketing e outros, por exemplo, para que você possa verificar se não há problemas com os principais aplicativos de negócios. Se tudo isso for verificado, defina um cronograma para entregar o patch em todos os lugares.
- Siga as regras de ouro
Por fim, Brown apresentou algumas regras de ouro adicionais para a aplicação de patches:
- Não teste um patch em seu próprio computador: Se ele falhar, você poderá ficar sem acesso ao seu dispositivo por horas e não conseguirá impedir que um patch desonesto seja implantado de forma mais ampla.
- Procure sistemas de gerenciamento de patches que permitam a desinstalação de patches e a reversão de sistemas.
- Organize a implementação de modo a não sobrecarregar a rede nem afetar a experiência do usuário. Divida-a com base em grupos lógicos ou por departamento, região, local ou tipo de dispositivo.
- Certifique-se de que todos os novos dispositivos sejam adicionados ao cronograma de aplicação de patches.
- Documente os sucessos e os fracassos da aplicação de patches. Saiba se algum dispositivo falhou na aplicação de patches e seja capaz de detalhar para descobrir o motivo.
