Lembra do Código Vermelho? Não aquele do filme – Alguns Homens Bons! O Código Vermelho que assolou a Internet de forma infame em 15 de julho de 2001. A magnitude da perturbação criada por esse worm de computador foi tamanha que levou a Microsoft a começar a corrigir vulnerabilidades de software. Antes do Code Red, o gerenciamento de patches girava em torno de TI, não de segurança cibernética. Enquanto isso, os worms de computador continuaram seus ataques. Finalmente, em maio de 2017, surgiu o notório criptoworm ransomware – WannaCry. Com certeza causou muitos problemas para as equipes de segurança e TI da Microsoft. Também conscientizou as organizações de que o gerenciamento de patches não é apenas um processo útil – é uma necessidade absoluta!
À medida que a tecnologia e as economias cresciam, as pequenas mercearias tornaram-se supermercados e agora hipermercados. Os especialistas em marketing, vendas e sucesso do cliente passaram da personalização para a hiperpersonalização. Assim, o próximo capítulo no gerenciamento de patches para todas as organizações é simples: automação, ou melhor, hiperautomação.
Gerenciamento de patches: a situação atual
Não há dúvida de que os fabricantes de sistemas operacionais aprenderam com os ataques anteriores em nível empresarial e evoluíram. Mas os atores de ameaças hoje em dia também evoluíram e estão em ação 24 horas por dia, 7 dias por semana. Eles se alimentam de vulnerabilidades de software e aplicativos. Você dá a eles um centímetro e eles percorrerão um quilômetro. Acredite ou não, pessoal de SaaS, há operações em andamento como crime cibernético como serviço e ransomware como serviço.
O estado atual de gerenciamento de patches como a maioria dos CIOs concordaria, gira em torno da análise de risco. As equipes de segurança analisam as vulnerabilidades do sistema operacional e dos aplicativos e as priorizam, e as equipes de TI implementam patches para corrigir essas vulnerabilidades ou bugs. A menos que esses riscos sejam priorizados e comunicados antecipadamente, sua TI ficará relutante em implementar patches.
Atualmente, o maior problema para as equipes de TI na emissão proativa de patches é a disponibilidade e a capacidade de resposta dos dispositivos. Portanto, se não houver alerta vermelho para um patch específico, as equipes de TI não os enviarão aos dispositivos. E eles têm um argumento forte: tempo de inatividade do dispositivo. Por exemplo, o laptop do seu vendedor que está no meio de uma apresentação em uma reunião importante não pode exibir repentinamente a mensagem “atualizando dispositivo, aguarde”. Isso é basicamente o que está acontecendo na maioria das organizações. É uma gangorra entre o tempo de inatividade do dispositivo e a segurança do dispositivo. O equilíbrio não é fácil de estabelecer. Depois vem a matemática – a combinação de probabilidades de vulnerabilidades – porque nem todas as vulnerabilidades têm sérias implicações de exploração por parte dos atores da ameaça.
Os atores da ameaça rondam o equilíbrio mencionado acima. Profissionais de segurança em todo o mundo estão cientes das ameaças de ransomware. Existem gangues de ransomware como serviço (digamos RaaS), como Conti, caçando na web. Os cibercriminosos adoram as lacunas ou silos que podem surgir entre os departamentos de TI e segurança. Em setembro de 2021, uma iniciativa conjunta entre o FBI e a CISA concluiu que o Conti RaaS levou a mais de 400 ataques a organizações globais e sediadas nos EUA.
O estado atual dos assuntos de gerenciamento de patches pode não se manter no futuro. As equipes de TI e de segurança cibernética precisam de colaboração aprimorada, pois apenas a análise de risco baseada em prioridades para atualizações de patches não será suficiente nos próximos anos.
Mapeando o caminho a seguir
Derrotar a abordagem implacável de players de RaaS como Conti e outros atores de ameaças individuais não é um passeio no parque. As equipes de TI e de segurança cibernética nas organizações devem estar mais unidas do que nunca. A sua agenda comum deve ser o combate aos ataques. Reduzir o tempo para corrigir dispositivos precisa estar no topo de sua lista de prioridades. Quando os invasores não têm tempo suficiente para explorar vulnerabilidades, é mais provável que eles desistam e deixem de atacar sua organização.
O equilíbrio entre o tempo de inatividade do dispositivo e a redução do tempo de correção, mantendo a segurança do dispositivo em primeiro plano, precisa ser aperfeiçoado. Conforme mencionado anteriormente, nem todas as vulnerabilidades podem ser exploradas; apenas 10% deles são. Isso mostra que não é aconselhável perseguir cada pequeno patch. Entretanto, também não significa que os restantes 90% devam ser ignorados – mas podem esperar. A análise de risco precisa de ter um mapeamento claro do contexto e do impacto das ameaças. Obter insights sobre patches e vulnerabilidades relacionadas é fundamental para perceber quais deles são armados, suscetíveis a RaaS e exploráveis.
A combinação certa de insights de patches e análise de risco de vulnerabilidades é fundamental para a priorização do gerenciamento de patches com base nas perspectivas de danos das ameaças.
Rumo ao futuro com hiperautomação
Nos próximos 5 a 10 anos, a gestão de patches seria centralizada em dois aspectos: melhores práticas de segurança cibernética e desenvolvimento de códigos seguros. Os códigos precisam ser verificados quanto a falhas de segurança no estágio de desenvolvimento e não quando estiverem no aplicativo ou software. Isto será essencial para o tempo de inatividade do dispositivo e equilíbrio de tempo de patch de que falamos anteriormente.
Vulnerabilidades não corrigidas e exploráveis são a principal causa da maioria das violações de dados ou da invasão de sistemas e dispositivos por ransomware. A simples automatização de insights ou inteligência sobre patches não seria suficiente no futuro. Por que? Existem razões fortes. Em primeiro lugar, os modelos de trabalho remoto e híbrido continuam a funcionar mesmo no mundo pós-pandemia. Para apoiar esses modelos, mais organizações continuarão a adotar operações baseadas na nuvem. As equipes de TI já consideram o gerenciamento de patches complexo e, considerando o trabalho remoto/híbrido e a rápida mudança para a nuvem, essa complexidade não ficará mais fácil no futuro.
A resposta para todos os desafios de processo e gerenciamento de patches está no próximo nível de automação: a hiperautomação. A maioria das soluções de gerenciamento unificado de endpoints (UEM) atualmente oferece gerenciamento automatizado de patches mas mesmo eles precisariam fazer uma mudança rápida para a hiperautomação no futuro. Chegou a hora das equipes de TI e segurança serem mais proativas e preverem vulnerabilidades em tempo real. A análise de ameaças precisa ser levada ao próximo nível para detectar, compreender e responder aos padrões de risco dos patches. Essa é a única opção viável para permanecer sincronizado com os complexos padrões operacionais dos agentes de ameaças. A intervenção humana precisa ser minimizada tanto quanto possível. É claro que, na fase final, haverá um elemento de arbitragem baseada no ser humano. Todo o cenário pode parecer esmagador, mas as organizações devem encontrar uma maneira de alcançar a hiperautomação do gerenciamento de patches usando o UEM.
Caminho para a hiperautomação
Então, como um CIO/CISO/CSO garante que a hiperautomação se torne parte integrante do gerenciamento de patches em uma organização? O atual gerenciamento de patches baseado em risco entrou em cena a partir de 2018. Sim, isso foi um ano depois de WannaCry (2017). Embora a análise de risco e a inteligência de patches hoje possam ser automatizadas por meio de um Solução UEM, as organizações estão esperando por outro ataque em grande escala para migrar para a hiperautomação? Eles querem que Conti ataque forte? Não, certo? Devemos ficar atentos a todo o espaço da UEM para desenvolvimentos e inovações no gerenciamento de patches. E as inovações seriam fundamentais para a adoção da hiperautomação.
O caminho inovador para o gerenciamento hiperautomatizado de patches começará com a incorporação de mais controles de segurança baseados em código no software, incluindo códigos de segurança, de desenvolvedor e de política. O mesmo controle baseado em código será aplicado a patches, exposição e vulnerabilidades. Simplificando, a hiperautomação de patches terá tudo a ver com codificação inclusiva e incorporada.
Fechando
As variantes do Code Red e do WannaCry continuarão a atacar a segurança corporativa e gangues RaaS como Conti continuarão encontrando seus caminhos nos sistemas. No entanto, o futuro precisa e sempre terá “Alguns Homens Bons”.
A única maneira de se defender contra os agentes de ameaças é estar um passo à frente deles e acompanhar as marés da inovação. A automação da verificação e análise de vulnerabilidades estabelecerá a base para o gerenciamento hiperautomatizado de patches. A evolução do UEM também será um fator chave para a hiperautomação do gerenciamento de patches. Por mais complexo que possa parecer o futuro dos patches, as equipes de TI e de segurança cibernética precisam se unir para tornar a mudança para a hiperautomação uma realidade, e gerenciamento unificado de endpoints terá um papel importante nesse futuro.
Scalefusion UEM oferece gerenciamento de patches de sistema operacional para Windows. Inscreva-se para um teste gratuito de 14 dias para saber mais e agende uma demonstração.
