Os cibercriminosos não esperam que as empresas consertem uma vulnerabilidade. O ataque geralmente é bem-sucedido rapidamente e é esperado. O gerenciamento de patch baseado em risco é recomendado para que o fator tempo perca um pouco de seu peso.
A partir do momento em que uma vulnerabilidade é publicada, leva em média apenas 22 dias para desenvolver uma exploração funcional. No lado da empresa, no entanto, leva entre 100 e 120 dias em média até que um patch disponível seja implementado. Uma razão para essa discrepância é certamente que as empresas há muito se mostram impotentes contra o grande número de novas vulnerabilidades.
Vulnerabilidades: Uma exploração estará disponível em 22 dias
O NVD (National Vulnerability Database) contabilizou quase 22.000 novas vulnerabilidades em 2021, 10% a mais do que no ano anterior e provavelmente 20% a menos do que em 2022. O gerenciamento de patches orientado para conformidade não consegue mais acompanhar esse ritmo. No entanto, o gerenciamento de patches baseado em risco oferece uma abordagem fundamentalmente diferente. A ideia básica: em vez de tentar (em vão) fechar todos os pontos fracos, as brechas de segurança que também representam um risco real para a empresa individual são consideradas primeiro.
O que parece um truísmo representa desafios muito especiais para as organizações de TI quando se trata de implementação. Usando 5 melhores práticas, o provedor de segurança Ivanti mostra como elas podem ser resolvidas e traduzidas em maior segurança:
1: Veja a situação
Você não pode proteger o que não conhece. Portanto, o gerenciamento de patch baseado em risco sempre começa com um inventário. Quais recursos estão na rede corporativa? Quais perfis de usuário final usam esses ativos? Antes da pandemia de corona, o gerenciamento de ativos era muito menos complicado, bastava uma olhada completa no escritório: no "Everywhere Workplace", isso dificilmente é possível. O gerenciamento de patch baseado em risco só funciona nessa nova situação se todos os ativos puderem ser descobertos, atribuídos, protegidos e mantidos em qualquer local - mesmo quando estiverem off-line.
2: Envolva todos de um lado
Em muitas organizações hoje, uma equipe é responsável pela verificação de vulnerabilidades e testes de invasão, a equipe de segurança é responsável por definir prioridades e a equipe de TI é responsável por executar ações corretivas. Como resultado, às vezes há sérias lacunas entre o conhecimento obtido da segurança e as medidas corretivas tomadas pela TI.
O gerenciamento de patches baseado em riscos cria uma conexão entre os departamentos. Ele assume que as ameaças externas e os ambientes de segurança interna são vistos juntos. A base é uma análise de risco que ambos os departamentos podem aceitar. Isso abre um caminho para a equipe de segurança priorizar apenas as vulnerabilidades mais críticas. Os colegas das operações de TI, por sua vez, podem se concentrar nos patches importantes no momento certo. Desta forma, o gerenciamento de patches baseado em risco dá a todos mais espaço para respirar.
3: Sustente o gerenciamento de patches com SLA
Uma coisa é que as equipes de segurança e operações de TI devem trabalhar juntas para desenvolver uma solução de gerenciamento de patches baseada em risco. A outra coisa é capacitá-los e motivá-los. Um contrato de nível de serviço (SLA) para gerenciamento de patches entre as operações de TI e a segurança de TI acaba com as idas e vindas ao padronizar os processos de gerenciamento de patches. Ele define metas departamentais e corporativas para gerenciamento de patches, estabelece melhores práticas e processos e estabelece datas de manutenção que todos os envolvidos podem aceitar.
4: Organize o gerenciamento de patches com grupos piloto
Bem executada, uma estratégia de gerenciamento de patches baseada em riscos permite que as equipes de segurança e operações de TI trabalhem rapidamente, identifiquem vulnerabilidades críticas em tempo real e as corrijam o mais rápido possível. Apesar de todo o amor pela velocidade, o seguinte ainda se aplica: um patch apressado traz o risco de travamento de software crítico para os negócios ou outros problemas.
Grupos-piloto de empresas tão diversificadas quanto possível devem, portanto, testar patches de vulnerabilidade em um ambiente ativo antes de serem totalmente implementados. Se o grupo piloto descobrir um bug, ele poderá ser corrigido com impacto mínimo nos negócios. Os grupos-piloto devem ser estabelecidos e treinados com antecedência para que esse processo não impeça o andamento do patch.
5: Use automação
O objetivo do gerenciamento de patches baseado em riscos é corrigir as vulnerabilidades de maneira eficiente e eficaz, reduzindo a sobrecarga da equipe. Isso é particularmente verdadeiro devido aos poucos níveis de pessoal de TI em muitas empresas. A automação acelera drasticamente o gerenciamento de patches baseado em riscos, analisando, contextualizando e priorizando vulnerabilidades XNUMX horas por dia, XNUMX dias por semana, na velocidade necessária. Da mesma forma, o gerenciamento automatizado de patches também pode segmentar a implementação de um patch para testar a eficácia e o impacto a jusante e complementar o trabalho dos grupos piloto.
Alvo incorreto: número de patches instalados
Embora o gerenciamento de riscos cibernéticos costumava ser principalmente sobre o número de patches instalados, essa abordagem agora se tornou obsoleta. A capacidade de identificar, priorizar e até corrigir vulnerabilidades automaticamente sem exigir intervenção manual excessiva é uma vantagem importante no cenário atual de segurança cibernética.
Uma solução de gerenciamento inteligente de ameaças e vulnerabilidades (TVM) também deve fornecer a capacidade de exibir resultados que sejam compreensíveis para as equipes de TI e segurança até o conselho corporativo. Uma pontuação de segurança cibernética, por sua vez, permite medir a eficácia da abordagem baseada em risco de uma organização. Ele simplifica o planejamento e elimina a necessidade de métricas puramente baseadas em atividades para corrigir vulnerabilidades.
Mais em Sophos.com