Índice:
Priorize, classifique e digitalize- O sonho impossível: corrigir todas as vulnerabilidades
- Adote a abordagem automatizada
Vídeo: Um Protheus mais rápido, mais fácil, mais simples, mais seguro e melhor de administrar? (Outubro 2024)
O gerenciamento de patches é o filtro de forno do mundo de TI. Você sabe que precisa atualizá-lo e sabe que deve fazê-lo regularmente. Mas você continua adiando até que de repente você está vários meses atrasado e é assediado por hackers e malware. Todo o processo é agravado porque, além de você ter pouco tempo precioso para gerenciar suas várias tarefas de patch, mas para cumprir inteiramente as instruções, você deve testar esses patches nos softwares e sistemas operacionais (SOs) disponíveis. instalado, bem como um ao outro. E você deve fazer tudo isso entre um rio interminável de demandas de usuários, prioridades de gerenciamento e o trabalho diário de manter sua rede e servidores em execução. Mas aqueles que economizam na aplicação de patches geralmente acabam com os negócios de uma enorme violação de dados que gera notícias nacionais e geralmente leva a um deslize rosa. Então, como você vai consertar todas essas coisas?
E não pense que você pode escapar apenas se tornando totalmente baseado em nuvem. Primeiro, quase ninguém está 100% baseado em nuvem hoje em dia, então você quase certamente terá alguma infraestrutura de data center no local. Além disso, você nunca escapará da lista cada vez maior de dispositivos clientes que precisam de correções de SO e firmware, além de ativos locais "inteligentes", como câmeras, dispositivos NAS (armazenamento conectado à rede), impressoras e muito mais. Tudo isso ainda precisa ser atualizado, para que o diabo esteja chegando para encontrá-lo, não importa o quê.
Se você é como muitos gerentes, faz com que sua equipe trabalhe no que parece ser a atualização mais importante. Você pode baixá-los, talvez testá-los, colocá-los em produção e depois esperar o melhor. O modo como você escolhe a importância normalmente depende de vários fatores ou até de preferências pessoais, mas freqüentemente se baseia simplesmente nas explorações que parecem mais ameaçadoras. Pode ser a vida real, mas essa não é realmente a melhor maneira de fazer isso.
Tarefas mais urgentes para profissionais de segurança cibernética em 2018
Priorize, classifique e digitalize
Primeiro, você prioriza, diz Ed Bellis, co-fundador e Chief Technology Officer (CTO) da Kenna Security. "Existem certos pequenos subconjuntos que você absolutamente deve priorizar", disse Bellis. Você determina o que é esse subconjunto de patches observando as funções mais críticas para os seus negócios e, em seguida, os patches que farão a maior diferença nessas funções.
"Por exemplo, o email pode ser crítico e pode ser constituído por dispositivos essenciais", explicou Sean Blenkhorn, CTO de campo e vice-presidente de engenharia de vendas mundiais da eSentire. Ele disse que é necessário decidir a importância de vários sistemas para os seus negócios e se concentrar primeiro nos primeiros. Divida-os em seus elementos "fáceis de encontrar" e construa sua estratégia a partir daí. Nesse caso, pode ser o firmware do servidor, o firmware de armazenamento, o SO do servidor e o software do servidor de email, bem como o software anti-malware / anti-spam associado ao servidor, se houver algum. O software de proteção de endpoint orientado para o cliente geralmente não é uma grande parte das estratégias manuais de correção, pois esse tipo de software é atualizado automaticamente, a menos que a TI especifique o contrário.
Blenkhorn disse que um erro que muitas organizações cometem é executar um scanner de vulnerabilidades primeiro, mas ele disse que, sem classificar os sistemas mais importantes primeiro, você pode acabar com páginas de resultados de vulnerabilidades e não saber quando ou se deve aplicar as correções.
"Primeiro, faça a classificação e depois faça a varredura", disse Blenkhorn. Ele disse que três scanners de vulnerabilidade que ele usa com mais frequência são da Qualys ou Tenable, mas observa que existem vários outros.
Ele disse que a razão pela qual você classifica seus sistemas antes da verificação é para que você possa tomar uma decisão inteligente sobre qual deve ser a prioridade deles. Por exemplo, se você encontrar uma vulnerabilidade séria em um sistema que raramente é usado ou que não faz nada realmente importante, talvez seja melhor simplesmente eliminar esse sistema ou, pelo menos, desativá-lo até conseguir tempo. para corrigi-lo.
O sonho impossível: corrigir todas as vulnerabilidades
Ao executar a classificação primeiro, você também pode saber quando uma vulnerabilidade deve ser corrigida imediatamente, talvez por ser fundamental para a sua organização e também para a Internet. Talvez você também possa atrasar o patch de um sistema que possui vulnerabilidades que não têm explorações, que não são voltadas para a Internet ou ambas. Ele disse que é importante não apenas determinar se há uma vulnerabilidade, mas também se existe uma exploração e se a exploração está sendo usada.
Em muitos casos, disse Blenkhorn, não há façanhas no mundo real, o que significa que pode fazer mais sentido se concentrar em outras ações. Uma maneira de lidar com as vulnerabilidades é examinar relatórios profissionais de avaliação de segurança cibernética de fornecedores como a Kenna Security. Esses relatórios analisam vários bancos de dados de ameaças e relatam suas descobertas, medindo vulnerabilidades em vários fatores, dependendo de como o fornecedor do relatório abordou o assunto.
"nosso primeiro relatório lançado na primavera passada", disse Bellis, "analisamos todas as vulnerabilidades no banco de dados". Ele disse que o segundo relatório foi lançado em janeiro de 2019. De acordo com Bellis, sua análise se concentra no fato de que muito poucas vulnerabilidades realmente têm explorações conhecidas, o que significa que faz mais sentido focar naquelas do que nas vulnerabilidades que provavelmente nunca ser atacado. O relatório ajuda os profissionais de TI a fazer essa determinação para a infraestrutura que instalaram.
"Nós quebramos essas vulnerabilidades por fonte de tecnologia", explicou Bellis. Ele disse que as vulnerabilidades mais importantes podem vir da Oracle por sua enorme base de dados em bancos de dados, da Adobe por seu cliente Reader generalizado e em constante correção, da Microsoft para Microsoft Windows 10 e de fornecedores de software igualmente grandes. Mas ele observou que pode haver grandes diferenças na maneira como essas vulnerabilidades são tratadas.
"Há uma enorme diferença na taxa de correção", disse Bellis. "Ficou claro que a Microsoft tornou muito fácil e operacional para os clientes corrigir suas vulnerabilidades. Oracle e Java estão na outra extremidade dessa escala".
Adote a abordagem automatizada
Outra abordagem é comprar um software especial que reduzirá muito o peso da análise e programação do gerenciamento de patches. Essa é a abordagem automatizada.
"Os administradores de TI não podem manter manualmente uma conta de todos os patches ausentes na rede", disse Giridhara Raam M, evangelista de produtos da ManageEngine (uma divisão da Zoho Corporation), em uma troca de e-mails. "Portanto, eles precisariam de um sistema automatizado para varrer a rede, identificar os patches ausentes, fazer o download desses patches no site do fornecedor, testá-los e implantá-los nas máquinas visadas a tempo", continuou ele. "Os administradores de TI devem poder agendar essas implantações fora do horário comercial, para evitar aborrecimentos para os funcionários".
O ManageEngine possui ferramentas que podem ajudar, assim como outros fornecedores, incluindo o LogicMonitor e a Microsoft. No entanto, ainda é necessário classificar seus ativos de rede para que você saiba em quais vulnerabilidades precisa se concentrar.
É a classificação que é fundamental. Você não precisa se concentrar em todas as vulnerabilidades de uma só vez; você só precisa começar com aqueles com maior probabilidade de causar problemas imediatamente e desenvolver a partir daí.
