Vivemos uma era na qual serviços pré-programados de exploração de exploits tornam possível que qualquer pessoa, sem grande conhecimento técnico ou habilidade lance ataques avançados nos ambientes corporativos. Então, o que pode ser feito? Realizar os patches de sistemas operacionais e aplicações é uma forma garantida de bloquear diversos ataques. Mas é preciso mais do que apenas habilitar o auto-update.

A seguir apresentamos 7 práticas de gerenciamento de patches que podem levar a cibersegurança da empresa para outro patamar.

 

1 – Use uma solução adequada de descoberta

Você não pode proteger o que não sabe que existe. A única forma de saber se uma vulnerabilidade existe e está colocando sua empresa em risco é contar com soluções que te apontem a existência dessas vulnerabilidades. Uma solução adequada utiliza uma combinação de capacidades ativas e passivas que identificam sistemas físicos, virtuais e off-premise que acessam sua rede corporativa. Ter um inventário completo e visibilidade sobre o que integra e acessa sua rede corporativa é essencial para realizar a proteção, afinal, uma única máquina sem o patch adequado pode colocar em risco a rede.

 

2 – Utilize suporte heterogêneo a Sistema Operacional

Ao passo em que você busca criar um inventário e utilizar as soluções adequadas de descoberta, você deve garantir que isso inclua uma lista ampla de fabricantes e sistemas operacionais. O Windows não é mais o único sistema operacional em uso, e, como resultado, você não pode mais focar suas estratégias apenas no Windows. É preciso oferecer suporte para Windows, iOS, Android e Linux.

 

3 – Realize patches de aplicações

Muitas empresas já estão bem maduras com relação aos dois passos anteriores, contudo, a limitação de muitas acaba sendo na camada das aplicações. Pense no Windows por exemplo, cerca de 80% das vulnerabilidades de software podem vir de aplicações que não são da Microsoft rodando no Windows. O que significa que você precisa de uma listagem compreensiva não só dos sistemas operacionais, mas também das aplicações.

O IoT apenas complica ainda mais essa situação, inserindo diversos dispositivos e aplicações rodando em diferentes sistemas operacionais que não estão sob propriedade e controle da TI.

Fabricantes como Adobe, Google, Oracle e outros que são presentes no universo corporativo possuem diversas vulnerabilidades que devem ser adereçadas e acabam sendo mais visados pelos atacantes. Nesses casos, depender apenas dos auto-updates não é uma opção, já que eles podem ser facilmente desligados, ignorado pelos usuários ou podem quebrar as aplicações, dando diversas aberturas para os atacantes.

 

4 – Tenha uma cobertura on e off-premise

Realizar o patch de sistemas operacionais e aplicações pode não significar nada se não for algo realizado em todas as máquinas e todos os locais. Ao passo em que a TI permite que os usuários deixem a rede corporativa ou mesmo trabalhem remotamente, ainda é necessário manter a segurança desses dispositivos remotos. O gerenciamento de patches e outros controles de segurança devem prover a mesma cobertura e controle para dispositivos on e off-premise.

 

5 – Aplique os patches todas as semanas

Quanto mais os colaboradores podem sair dos limites da rede corporativa, a frequência dos patches se torna ainda mais importante. Os fabricantes possuem diferenças entre seus ciclos de updates. A Microsoft é a mais regular, liberando patches regularmente todas as sextas, contudo, outros fabricantes possuem um agenda de updates muito mais errática.

Por isso, é importante que os patches tenham uma frequência semanal em sua empresa, de forma que você nunca fique muito atrasado com relação ao update lançado por nenhuma empresa.

 

6 – Seja agentless no Data-Center

Servidores se comportam de maneira diferente quando o assunto é gerenciamento de patches. Muitas vezes os administradores não gostam de adicionar agentes aos sistemas, e existe uma necessidade de suportar porções da infraestrutura virtual que um agente não pode operar, como templates e máquinas virtuais offline. Além disso, instalar um agente em cada VM pode estressar os recursos de rede, que podem resultar na degeneração da rede. É necessário ter um meio termo entre esses dois cenários. Ter uma arquitetura flexível que permite tanto suporte com agente e agentless para os servidores.

 

7 – Mitigue as exceções

Independente de com ou sem agente, você acaba precisando abrir exceções ao realizar os patches. Contudo, no atual cenário de segurança, você não pode simplesmente aceitar essa exceção, você precisa incluir um plano de mitigação. Por exemplo, um patch de um componente chave que pode acabar quebrando uma operação acaba sendo tratado como exceção e não é atualizado o Java 7 depois da atualização 63. Nesse caso, você pode fazer uma exceção para o Java permanecer nesse sistema legado, ao passo em que fecha o acesso a internet e as permissões de usuário nesse sistema.

O gerenciamento de patches é vital para a cibersegurança, mas raramente recebe a devida atenção. Com essas práticas simples em mente você consegue se manter bem com relação ao gerenciamento de patches e mitigar grande parte dos riscos ao seu sistema corporativo.

 

Conheça o Critical Server MSS da Real Protect. Um serviço exclusivo para você assegurar a proteção dos servidores mais críticos para seu negócio.