O Patch Management as a Service (PMaaS) surge como uma oferta de gerenciamento de vários fabricantes que buscam eliminar a dificuldade do gerenciamento de patch cuidando dessa função de forma automática usando um modelo de subscrição as-a-Service.
Gerenciamento de patch se trata de ajudar as organizações a gerenciar o processo de aplicar patches de softwares e aplicações. Isso engloba funções como teste de patches, priorização de patches, complementá-los, verificar se eles foram instalados em todos os endpoints e no geral ver todos os aspectos de patches.
Porém, aplicar patches pode ser uma tarefa que consome tempo e não é efetiva. Há diversos patches sendo lançados para combater tantas vulnerabilidades que é fácil ficar para trás. Há mais de 20.000 vulnerabilidades identificadas todo ano, ainda assim, a Agência de Cibersegurança e Infraestrutura dos EUA (CISA) rastreia apenas 800 no total como vulnerabilidades exploradas atualmente. Isso não significa que o resto deva ser ignorado, mas significa que as que estão sendo exploradas devem ser priorizadas.
Mesmo que isso não seja fácil, as organizações não estão cientes de tudo que elas têm que precisam de patches, tornando a ferramenta de avaliação de gerenciamento de TI (ITAM) uma ferramenta de segurança ainda mais importante, além de funcionalidades de diversos serviços de gerenciamento de vulnerabilidades.
Por conta de todos esses desafios, os provedores de serviços de segurança gerenciadas (MSSPs) e os fabricantes de patch e gerenciamento de vulnerabilidade começaram a oferecer serviços que fazem esse trabalho pesado para as organizações. Dado o tempo e a dificuldade envolvida, faz sentido a existência de um provedor de serviços de segurança para diversas organizações.
Relacionado: Porque Serviços de Patch Fazem Sentido
O que é o Patch Management as a Service?
O Patch Management as a Service (PMaaS) é uma oferta de gerenciamento de múltiplos fabricantes que buscam eliminar a dificuldade do gerenciamento de patch cuidando dessa função de forma automática usando um modelo de subscrição as-a-Service.
“O Patch Management as a Service é a solução que as organizações podem usar para atualizar os seus sistemas e aplicações, realizar manutenções e reparos, além de melhorar a performance e usabilidade do software após a implementação”, disse Lou Fiorello, Vice-Presidente e Gerente de produtos de segurança da ServiceNow.
Os patches são um elemento essencial na manutenção dos ativos de TI. Porém, a carga de trabalho das operações de TI atuais é tamanha que normalmente os patches são uma tarefa negligenciada pela TI. Apesar disso, novas histórias sobre vulnerabilidades e Common Vulnerabilities and Exposures (CVE) sendo lançados com bastante frequência, uma grande quantidade de organizações que falham em instalar patches urgentes durante meses. Há alguns CVEs de alto risco que já são conhecidos há anos e ainda não tiveram seus patches aplicados em algumas empresas. Falhas críticas bem conhecidas como Log4j e ProxyShell continuam a serem exploradas mesmo com correções estando disponíveis por anos em alguns casos.
“Diversas organizações percebem que a quantidade de patches requisitados para os seus softwares e sistemas podem criar problemas para eles mesmos.” disse Fiorello. “Gerenciar os patches manualmente para todas essas aplicações diferentes consome bastante tempo e tira o foco de profissionais dedicados de suas tarefas fundamentais.”
O gerenciamento de patches manual também é passível de erro humano. Em alguns casos, pode levar a vulnerabilidades expostas ou diminuição da performance do aplicativo quando os patches são deixados de lado ou aplicados incorretamente. Um serviço de gerenciamento de patch efetivo elimina esses problemas. Ao aplicar a automação para rastrear e instalar updates, o gerenciamento de patch ajudará as organizações a se atentarem a todos os patches de software que seus sistemas e dispositivos dependem.
Relacionado: 3 razões por que o patch é importante
O PMaaS é uma opção viável para proteção contra vulnerabilidades?
Não existe dúvida que realizar patching tem um real valor. Fechando as portas que existem em aplicativos e sistemas operacionais, as organizações estarão protegidas de ataques. Os atacantes buscam por sistemas desatualizados, como uma abertura ou alguma forma de escalar ataques e se mover lateralmente dentro da rede. Se encontrarem vulnerabilidades desatualizadas, irão esfregar as mãos com alegria. Pode ser difícil de acreditar, mas ainda existem Windows Vista e até mesmo XP em uso por aí (apesar de não terem suporte e serem cheios de lacunas de segurança) assim como sistemas obsoletos como Adobe Media Player. Um bom serviço de gerenciamento de patch captura essas instâncias e até mesmo atualiza ou remove-os.
Além disso, PMaaS é relativamente barato. A taxa mensal cobre todas as funções de patching. O usuário ganha a mais atual tecnologia de patch e não terá a necessidade de atualizar a infraestrutura de base ou licença de novo software. E o tempo salvo permite a sobrecarregada equipe de segurança a habilidade para focar em outras tarefas críticas.
Benefícios dos serviços de gerenciamento de Patch
Os serviços de gerenciamento de patch oferecem muitos benefícios. Estes incluem:
- Redução da responsabilidade: Uma significante porcentagem de brechas podem ser traçadas diretamente para vulnerabilidades desatualizadas. Estas companhias, que falham em cumprir suas obrigações em proteger os dados dos usuários podem ser autuadas e responder legalmente. Um gerenciador de patch apropriado fornece uma essencial linha de defesa – não só para informação do cliente, mas também para a organização que a coleta.
- Melhora a experiência do usuário: Poucas coisas são tão frustrantes para clientes como falhas, aplicativos com avarias.Com gerenciamento de patch, serviços orientados a clientes podem assegurar que suas tecnologias funcionam como deveriam – corrigindo bugs e vulnerabilidades assim que surgem e criando uma experiência positiva para o usuário.
- Aprimoramento de Prioridades: Quando existir um backlog de patches importantes que precisam ser aplicadas e recursos limitados disponíveis para aplicá-los, o gerenciamento de patch pode ser empregado para ajudar a priorizar atualizações baseados em tipo, severidade, fabricante e outros fatores.
- Aplicação Eficiente: Agendamento automatizado pode estabelecer os melhores horários para as atualizações serem aplicadas, incluindo horários fora do expediente de trabalho. Isso ajuda a minimizar a inatividade do sistema e previne a reinicialização de impactar na produtividade.
- Otimização de rastreamento e relatórios: Gerenciamento de patch torna fácil acessar políticas, rastrear mudanças no status da rede, identificar patches perdidos, tentativas falhas de patch, e aproveitar, em tempo-real, de uma completa transparência em todas as atualizações e também, atualizações agendadas com relatórios gerados de forma simples
Desvantagens de PMaaS
Gerenciamento de patches não é tudo e não acaba com a ideia da segurança. Ainda precisa ser compatível com outras tecnologias assim como scans de vulnerabilidades, teste de penetração, detecção e resposta de endpoint (EDR), firewalls, SIEM e mais.
“Gerenciamento de patch como um serviço, mira em ajudar a identificar e remediar vulnerabilidades de softwares, mas precisam ser validados pelos scans locais de segurança para ajudar a confirmar que as vulnerabilidades Third-Party serão detectadas” disse Bob Kelly, Diretor, Gerente de Produto, Flexera.
Outra coisa para se atentar é a cobertura. Sim, PMaaS é uma coisa boa. Mas o gerenciamento de patch oferecido em geral, tende a focar em aplicações e S.Os. Uma recente descoberta é de que algumas vezes ele pode não perceber o armazenamento e o sistema de Backup.
“Ferramentas de gerenciamento de patch trabalham bem com S.Os e aplicações enterprise, mas frequentemente perdem CVEs relacionados a armazenamento e backup,” disse Doron Pinhas, CTO na Continuity Software. “Existem atualmente cerca de 70 CVEs que foram detectados em ambientes de armazenamento que podem ser utilizados para filtrar arquivos, iniciar ataque de negação de serviço (DoS), obter posse de arquivos, e bloquear dispositivos. No total, cerca de 20% dos dispositivos armazenados estão expostos, em média, e podem ser atacadas por ransomware.”
Continuity Software tentou preencher este espaço com um específico scan de armazenamento e backup para capturar estes itens, antes despercebidos pelo PMaaS, e scan de vulnerabilidades.
Assim como as coberturas limitadas, outra desvantagem de algumas plataformas de PMaaS são os relatórios e visibilidade de conformidade.
“Um dos maiores desafios que vemos com o PMaaS é que muitas soluções faltam no que se refere a explicitar quais patches foram aplicados em quais dispositivos”, disse Bob Kelly, Gerente de Produto, Flexera. “Isto cria problemas para o departamento de TI assim que tentam assegurar que padrões de conformidade estão sendo atingidos em suas organizações. Por conta disso, é importante buscar por uma solução PMaaS que tenha um rastreamento otimizado e capaz de construir relatórios de forma nativa em suas soluções”
Quanto Custa um Serviço de Gerenciamento de Patch?
O preço de PMaaS variam consideravelmente de fabricante para fabricante, e varia baseado no nível de serviço dos fabricantes. Para alguns, PMaaS pode vir com algumas automações, mas isto não é o mesmo que entregar todo o trabalho para o serviço de gerenciamento fornecido.
Pode também ser difícil fazer um comparativo entre ferramentas. Alguns somente providenciam atualizações de aplicativos e S.Os. Alguns realizam inventários detalhados de todos endpoints, enquanto outros focam em funções como gerenciamento de vulnerabilidades, gerenciamento e segurança de endpoints, e até mesmo gerenciamento de dispositivos móveis. Portanto, preste atenção ao que a taxa mensal cobre.
Os preços parecem trabalhar entre US$500 e US$1,000 por ano para 10 dispositivos, enquanto subscrições PMaaS básicas podem, talvez, custar metade deste montante. O número mais elevado aplica-se quando há funções adicionais ou quando estão envolvidos conjuntos maiores. O número mais baixo aplica-se baseado em um volume maior, e podem ir mais baixo para maiores aplicações. Algumas das mais avançadas soluções vão além de aplicações e sistemas operacionais para endereçar vulnerabilidades em coisas como roteadores e dispositivos IoT.
Dado o maior custo de profissionais de segurança, serviços de gerenciamento de patches quase certamente entregam um ótimo retorno de investimento.
Relacionado:Patch Management Guia para compradores
Funções de Gerenciamento de Patch
Os patches percorreram um longo caminho nos últimos anos. E serviços de gerenciamento de patches estão sendo atualizados constantemente. Aqui estão algumas das maiores tendências.
Automação
Com tantos endpoints para gerenciar, automação é extremamente necessária. As melhores soluções para gerenciamento de patches fornecem funções de drag-and-drop, assim como automação de processos e tarefas multietapas.
“Automação significa que o TI não precisa mais formular scripts, pular de uma tela para outra, e manualmente empurrar patches para vários destinos”, disse Ashley Leonard, CEO da Syxsense. “Automações podem até mesmo endereçar sequências de ações como atualizações de VM convidadas, reinicializá-las e então atualizar os hosts antes de reiniciar separadamente.”
Relacionado: Syxsense anuncia o Syxsense Cortex
Teste do Fabricante
Processo de atualização frequentemente encalham em testes. Organizações levam uma eternidade e meia para se certificar de não quebrar outros sistemas. Uma grande tendência é os fornecedores lidarem rapidamente com testes e oferecerem características de retrocesso que devolvem os sistemas a um estado anterior na eventualidade de um problema após a implantação do patch.
Vulnerabilidades e brechas necessitam de automações
Dado o volume de ameaças cibernéticas, automações são a chave para a diminuição nas demandas sobrecarregadas dos times de segurança e ficam no topo das aparentemente intermináveis ameaças. E a natureza complicada e demorada dos patches – juntamente com os elevados custos de não conseguir fazer certo – tornam os patches e a gestão da vulnerabilidade uma das áreas mais promissoras de segurança cibernética a oferecer para os demais.
Texto original: eSecurityPlanet
Gerencie os patches com a AIQON
A AIQON está há mais de 10 trabalhando para proporcionar o melhor da cybersecurity para nossos clientes.
Gerenciamos a aplicação dos patches dos nossos clientes com o Syxsense Secure. A ferramenta ainda possibilita a automação de processos da TI, varredura de vulnerabilidades, instalação e remoção de softwares e inventário dos computadores.
