O gerenciamento de patches é o processo de aplicar atualizações emitidas por fornecedores para fechar vulnerabilidades de segurança e otimizar o desempenho de software e dispositivos. Às vezes, o gerenciamento de patches é considerado parte do gerenciamento de vulnerabilidades.
Na prática, o gerenciamento de patches consiste em equilibrar a cibersegurança com as necessidades operacionais da empresa. Os hackers podem explorar vulnerabilidades no ambiente de TI de uma empresa para lançar ataques cibernéticos e espalhar malware. Os fornecedores lançam atualizações, chamadas “patches”, para corrigir essas vulnerabilidades. No entanto, o processo de aplicação de patches pode interromper os fluxos de trabalho e criar downtime para a empresa. O gerenciamento de patches visa minimizar esse downtime, ao simplificar a implementação de patches.
Obter insights para preparar e responder a ciberataques com maior velocidade e eficácia com o Índice IBM Security X-Force Threat Intelligence.
Cadastre-se para obter o relatório do custo das violações de dados
O gerenciamento de patches cria um processo centralizado para aplicar novos patches aos ativos de TI. Esses patches podem melhorar a segurança, aprimorar o desempenho e aumentar a produtividade.
Atualizações de segurança
Os patches de segurança lidam com riscos de segurança específicos, geralmente corrigindo uma vulnerabilidade específica.
Os hackers geralmente têm como alvo ativos não corrigidos; portanto, a falha na aplicação de atualizações de segurança pode expor uma empresa a violações de segurança. Por exemplo, o ransomware 2017 WannaCry se espalhou por meio de uma vulnerabilidade do Microsoft Windows para a qual um patch havia sido emitido. Os cibercriminosos atacaram redes nas quais os administradores negligenciaram a aplicação do patch, infectando mais de 200.000 computadores em 150 países.
Atualizações de recursos
Alguns patches trazem novos recursos para aplicativos e dispositivos. Essas atualizações podem melhorar o desempenho dos ativos e a produtividade do usuário.
Correções de bugs
As correções de bugs lidam com problemas menores de hardware ou software. Normalmente, esses problemas não causam problemas de segurança, mas afetam o desempenho dos ativos.
Minimização do downtime
A maioria das empresas acha impraticável baixar e aplicar cada patch para cada ativo assim que ele estiver disponível. Isso ocorre porque a correção requer downtime. Os usuários devem parar de trabalhar, fazer logout e reinicializar os principais sistemas para aplicar os patches.
Um processo formal de gerenciamento de patches permite que as organizações priorizem atualizações críticas. A empresa pode obter os benefícios desses patches com interrupção mínima nos fluxos de trabalho dos funcionários.
Conformidade regulamentar
De acordo com regulamentos como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) e o Payment Card Industry Data Security Standard (PCI-DSS), as empresas devem seguir certas práticas de cibersegurança. O gerenciamento de patches pode ajudar as organizações a manter sistemas críticos em conformidade com essas obrigações.
A maioria das empresas trata o gerenciamento de patches como um ciclo de vida contínuo. Isso ocorre porque os fornecedores lançam novos patches regularmente. Além disso, as necessidades de aplicação de patches de uma empresa podem mudar à medida que seu ambiente de TI muda.
Para descrever as melhores práticas de gerenciamento de patches que os administradores e usuários finais devem seguir ao longo do ciclo de vida, as empresas elaboram políticas formais de gerenciamento de patches.
Os estágios do ciclo de vida do gerenciamento de patches incluem:
1. Gerenciamento de ativos
Para controlar os recursos de TI, as equipes de TI e de segurança criam inventários de ativos de rede, como aplicativos de terceiros, sistemas operacionais, dispositivos móveis e endpoints remotos e locais.
As equipes de TI também podem especificar quais versões de hardware e software os funcionários podem usar. Essa padronização de ativos pode ajudar a simplificar o processo de aplicação de patches, reduzindo o número de diferentes tipos de ativos na rede. A padronização também pode evitar que os funcionários usem aplicativos e dispositivos inseguros, desatualizados ou incompatíveis.
2. Monitoramento de patches
Depois que as equipes de TI e segurança tiverem um inventário completo de ativos, elas poderão observar os patches disponíveis, rastrear o status dos patches e identificar os ativos que não possuem patches.
3. Priorização de patches
Alguns patches são mais importantes do que outros, especialmente quando se trata de patches de segurança. De acordo com o Gartner, 19.093 novas vulnerabilidades foram relatadas em 2021, mas os cibercriminosos exploraram apenas 1.554 delas "in the wild" (link externo a ibm.com).
As equipes de TI e segurança usam recursos como feeds de inteligência de ameaças para identificar as vulnerabilidades mais críticas em seus sistemas. Os patches para essas vulnerabilidades são priorizados em relação às atualizações menos essenciais.
A priorização é uma das principais maneiras pelas quais as políticas de gerenciamento de patches visam reduzir o downtime. Ao implementar os patches críticos primeiro, as equipes de TI e segurança podem proteger a rede e, ao mesmo tempo, reduzir o tempo que os recursos passam offline para aplicação de patches.
4. Testes de patches
Ocasionalmente, novos patches podem causar problemas, interromper integrações ou não lidar com as vulnerabilidades que pretendem corrigir. Os hackers podem até sequestrar patches em casos excepcionais. Em 2021, os cibercriminosos usaram uma falha na plataforma VSA da Kaseya (link externo a ibm.com) para espalhar ransomware aos clientes sob o disfarce de uma atualização de software legítima.
Ao testar os patches antes de instalá-los, as equipes de TI e segurança visam detectar e corrigir esses problemas antes que afetem toda a rede.
5. Implementação de patches
"Implementação de patches" refere-se a quando e como os patches são implementados.
As janelas de aplicação de patches geralmente são definidas para horários nos quais poucos ou nenhum funcionário estão trabalhando. Os lançamentos de patches pelos fornecedores também podem influenciar os cronogramas de aplicação de patches. Por exemplo, a Microsoft normalmente lança patches às terças-feiras, um dia conhecido como "terça-feira dos patches" entre alguns profissionais de TI.
As equipes de TI e de segurança podem aplicar patches em lotes de ativos, em vez de implementá-los em toda a rede de uma só vez. Dessa forma, alguns funcionários podem continuar trabalhando enquanto outros fazem logoff para aplicação de patches. A aplicação de patches em grupos também oferece uma última chance de detectar problemas antes que eles atinjam toda a rede.
A implementação de patches também pode incluir planos para monitorar os ativos após a aplicação de patches e desfazer quaisquer alterações que causem problemas imprevistos.
6. Documentação de patches
Para garantir a conformidade dos patches, as equipes de TI e de segurança documentam o processo de aplicação de patches, incluindo resultados de testes, resultados de implementação e quaisquer ativos que ainda precisem receber patches. Essa documentação mantém o inventário de ativos atualizado e pode comprovar a conformidade com os regulamentos de cibersegurança no caso de uma auditoria.
Como o gerenciamento de patches é um ciclo de vida complexo, as organizações geralmente procuram maneiras de simplificar a aplicação de patches. Algumas empresas terceirizam totalmente o processo para provedores de serviços gerenciados (MSPs). As empresas que lidam com a aplicação de patches internamente usam software de gerenciamento de patches para automatizar grande parte do processo.
A maioria dos softwares de gerenciamento de patches se integra a sistemas operacionais comuns, como Windows, Mac e Linux. O software monitora os ativos em busca de patches ausentes e disponíveis. Se houver patches disponíveis, as soluções de gerenciamento de patches poderão aplicá-los automaticamente em tempo real ou em um cronograma definido. Para economizar largura de banda, muitas soluções baixam patches para um servidor central e os distribuem para ativos de rede a partir dali. Alguns softwares de gerenciamento de patches também podem automatizar testes, documentação e reversão do sistema se um patch não funcionar.
As ferramentas de gerenciamento de patches podem ser softwares autônomos, mas geralmente são fornecidas como parte de uma solução de segurança cibernética maior. Muitas soluções de gerenciamento de vulnerabilidades e gerenciamento de superfície de ataque oferecem recursos de gerenciamento de patches, como inventários de ativos e implementação automatizada de patches. Muitas soluções de detecção e resposta de endpoint (EDR) também podem instalar patches automaticamente. Algumas organizações usam plataformas de unified endpoint management (UEM) para aplicar patches em dispositivos locais e remotos.
Com o gerenciamento automatizado de patches, as organizações não precisam mais monitorar, aprovar e aplicar manualmente cada patch. Isso pode reduzir o número de patches críticos que não são aplicados porque os usuários não conseguem encontrar um momento conveniente para instalá-los.
Adote um programa de gerenciamento de vulnerabilidades que identifica, prioriza e gerencia a correção de falhas que podem expor seus ativos mais críticos.
O IBM Security QRadar EDR aproveita níveis excepcionais de automação inteligente e IA para ajudar a detectar e remediar ameaças conhecidas e desconhecidas quase em tempo real.
Habilite e proteja todos os seus dispositivos móveis, aplicativos e conteúdo com a plataforma UEM IBM Security MaaS360 with Watson.
A caça a ameaças, também conhecida como caça a ameaças cibernéticas, é uma abordagem proativa para identificar ameaças anteriormente desconhecidas ou contínuas não remediadas dentro da rede de uma organização.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos de ataques cibernéticos ou violações de segurança.
O gerenciamento de ameaças é um processo usado por profissionais de cibersegurança para prevenir ataques cibernéticos, detectar ameaças cibernéticas e responder a incidentes de segurança.