Recursos/White Papers

Tecnologia

Sua empresa precisa de um software de gerenciamento de patches?

A implantação bem-sucedida de patches tornou-se cada vez mais complexa e crítica. E algumas ferramentas podem ajudar na consolidação de políticas de atualização e correção dos sistemas em uso na empresa

Mary K. Pratt, Computerworld/EUA

Publicada em 05 de maio de 2018 às 12h15

Dada a amplitude dos sistemas de software em qualquer organização e o volume de patches lançados pelos fornecedores, o software de gerenciamento de patches é um recurso essencial nos ambientes de TI. Ele ajuda a adquirir, testar e instalar alterações de código para o software em execução na empresa. E a avaliar vulnerabilidades dentro do software, priorizar atualizações e produzir relatórios sobre atividades e status de patches.

"Em resumo, o software de gerenciamento de patches ajuda a gerir todos os problemas de gerenciamento de mudanças decorrentes do  gerenciamento de patches, a manter as janelas de manutenção, e a  saber se a operação foi bem-sucedida e se o parque da empresa está em conformidade", explica  Terrence Cosgrove, analista do grupo de pesquisa em automação de serviços de TI do Gartner.

As organizações geralmente têm uma ampla gama de sistemas operacionais e aplicativos em execução em vários dispositivos em vários locais (on-premise e na nuvem, em dispositivos locais e em terminais remotos e móveis), o que torna o rastreamento e a priorização de patches, à medida que são liberados pelos fornecedores, uma tarefa difícil de ser executada sem a ajuda de ferramentas eletrônicas.

Ao mesmo tempo, os invasores continuam a explorar as vulnerabilidades conhecidas, enquanto as organizações lutam para acompanhar os patches. O Gartner prevê que 99% das vulnerabilidades exploradas até o final de 2020, já serão de conhecimento dos profissionais de segurança e TI no momento dos incidentes.

Como escolher a ferramenta mais adequada?
Organizações menores com ambientes de TI menos complexos podem rastrear, testar, aplicar e documentar patches sem nenhuma ferramenta de gerenciamento de patches. E maioria dos departamentos de TI de organizações de grande porte continua usando alguns processos manuais e scripts manuais para corrigir alguns sistemas. Poucos líderes de cibersegurança concordam que suas empresas precisam, o quanto antes, investir em software de gerenciamento de patches que lhes permita aplicar correções, de forma rápida e consistente,  nas diversas plataformas que têm em seus ambientes de TI.

Infelizmente, não há uma ferramenta única que possa lidar com todos os tipos de patch para todos os sistemas rodando hoje na maioria das organizações. As ferramentas de gerenciamento de patches podem ser parte de pacotes de gerenciamento de ciclo de vida maiores. Plug-ins que aumentam esses pacotes ou soluções autônomas, diz Cosgrove.

Normalmente, a maioria das organizações implanta mais de um tipo de ferramenta, selecionando aquelas que melhor atendem às suas necessidades com base nos sistemas específicos de software e hardware que usam, na velocidade em que desejam implantar os patches, nos riscos de negócios e em outros fatores, dizem os especialistas.

“Existem algumas ferramentas que são mais amplas, ou seja, tentam consertar tudo, mas empresas grandes, com mais de 1mil funcionários, precisarão de várias ferramentas de correção diferentes, na maioria dos casos”, explica Cosgrove.

Por exemplo:  o System Center Configuration Manager, da Microsoft, amplamente utilizado, funciona bem para o software da Microsoft, mas não é tão útil para o gerenciamento de patches para sistemas de software que não sejam da empresa. Muitos departamentos de TI usam essa ferramenta para gerenciar patches do Windows, mas implementam outras ferramentas de gerenciamento de patches para lidar com patches de outros fornecedores.

Além disso, as ferramentas de gerenciamento de patches podem ser entregues e configuradas de várias maneiras. Podem ser executadas no local ou na nuvem. Podem ser soluções autônomas e baseadas em dispositivo ou parte de um conjunto maior de produtos de software. E, não raro, podem ser oferecidas como parte de pacotes de gerenciamento de ciclo de vida de clientes e servidores ou como plug-ins que aumentam esses produtos, acrescenta Cosgrove.

Geralmente, elas oferecem uma lista semelhante de funcionalidades, incluindo recursos para inventário de ativos de TI, catalogação de patches no ambiente de TI da empresa, priorização de patches, implantação e entrega de patches e geração de relatórios. Também oferecem integração com outros sistemas importantes, como gerenciamento de ativos de TI, gerenciamento de ciclo de vida e programas de provisionamento, bem como produtos de software de gerenciamento de eventos e informações de segurança (SIEM) .

Trocando em miúdos,  as melhores ferramentas de gerenciamento de patches são aquelas que melhor atendem às necessidades exclusivas de cada organização. Os líderes de TI precisam considerar seus ambientes, quais sistemas estão sendo executados e quais conjuntos de gerenciamento têm quando avaliam quais ferramentas de gerenciamento de correção melhor atendem às suas necessidades, afirma Richard Stiennon, analista-chefe de TI da Harvest.

Stiennon e outros consultores aconselham os líderes de TI a considerar:

1 - o tipo de sistema que se beneficiará das ferramentas de gerenciamento de patches que estão sendo avaliadas - seja para Linux ou Windows, para desktops ou outros tipos de plataformas; se a ferramenta de gerenciamento de patches foi projetada para desktops, servidores, laptops e dispositivos móveis; e como isso combina com as necessidades da organização.

2 - se um novo sistema está sendo avaliado para suportar áreas que estão sendo corrigidas manualmente ou para substituir um recurso existente de gerenciamento de patches, e como os custos e as habilidades necessárias de TI se comparam entre o que está atualmente em vigor na organização e o que pode ser implantado.

3 - se a ferramenta de gerenciamento de patches pode se comunicar com múltiplas plataformas - desde impressoras de rede até hardware como roteadores e roteadores - para que possa avaliar e consertar uma miríade de plataformas de software; "Multiplataforma é a chave", diz Stiennon.

4 - se uma ferramenta baseada em agente oferece os recursos certos ou se a ausência de agente é uma melhor correspondência para o ambiente e as necessidades da organização.

5 - quão bem a ferramenta de gerenciamento de patches pode lidar com vários tipos de patches, como o patch de pontos de extremidade em locais remotos ou a correção de sistemas de terceiros, e o grau de automação que a ferramenta oferece.

update

Recursos adicionais a serem considerados
Scott Laliberte, diretor de marketing da Protiviti e líder da consultoria Global Information Security Practice, diz que é essencial que as ferramentas de gerenciamento de patches selecionadas tenham visibilidade sobre os ativos do departamento de TI, para que possam fazer uma busca precisa dos patches disponíveis.

"Você tem que ter certeza de que elas têm uma capacidade de inventário ou podem amarrá-lo, antes de iniciar o processo de descoberta", diz ele.

Stiennon diz que os fornecedores geralmente oferecem produtos bastante abrangentes. Mas eles tendem a competir em taxas e rapidez, portanto, os líderes de TI também devem avaliar as ferramentas de gerenciamento de patches quanto ao custo, bem como quanto à rapidez com que podem baixar e remover os patches.

Melhores práticas de gerenciamento de patches
Da mesma forma, Stiennon diz que algumas ferramentas de gerenciamento de patches oferecem mais recursos para relatórios do que outras, com alguns fornecedores oferecendo métricas que pontuam a empresa sobre como ela melhora ao longo do tempo e como ela se comporta em relação às demais - um recurso particularmente atraente para qualquer organização que tenha um sólido processo de gestão de patches.

"Você nunca chegará a 100%, mas se você tiver uma pontuação alta e for 20% maior do que qualquer um em seu espaço, então você pode pelo menos dizer à sua diretoria que está fazendo um bom trabalho" Stiennon diz.

Resultados impressionantes, no entanto, não virão apenas com software, diz Laliberte. “A solução em si não resolve o desafio do gerenciamento de patches. Você precisa de pessoal e processos ”, diz ele, citando o mantra de longa data de que segurança diz respeito a pessoas, processos e tecnologia.

Efeitos colaterais
A aplicação de patches de software em empresas modernas, com ambientes complexos, muitas vezes personalizados, incluindo vários pontos de integração, pode desacelerar o hardware ou o software, como é o caso dos patches projetados para corrigir as vulnerabilidades do Spectre and Meltdown. Os patches podem fechar portas, desativar partes críticas da infraestrutura, podem causar falhas em sistemas ou reduzir a disponibilidade - cenários potenciais que podem deixar as empresas sem os sistemas de que precisam para operar ou manipular transações.

“Quando você tem uma grande organização ou diversas redes, a aplicação de um patch pode fazer muitas coisas diferentes em muitos sistemas diferentes. Sim, o patch pode consertar uma falha de segurança, mas gerar muitas consequências involuntárias”, diz Frank Downs, diretor e especialista no assunto das práticas de segurança cibernética da ISACA, associação internacional focada em governança de TI .

As organizações também precisam lidar com o tempo e os recursos necessários para implementar os patches. Os funcionários precisam de tempo para testar, implantar e documentar patches - tempo que os afasta de atividades de maior valor agregado. Também precisam de tempo para derrubar e reinicializar os sistemas para implementar totalmente os patches, o que pode significar perda de produtividade.

Etapas em um processo de gerenciamento de patches

A recente onda de ataques de manchetes que exploraram sistemas sem patches aumentou a pressão sobre as organizações para gerenciar melhor e implantar mais rapidamente patches para servidores, terminais, bancos de dados e aplicativos.

O desenvolvimento de um forte processo de gerenciamento de patches pode não parecer tão empolgante quanto implementar novas defesas de cibersegurança, mas ainda tem grandes retornos, diz Cosgrove.

Um forte processo de gerenciamento de patches envolve várias etapas importantes, segundo Cosgrove, Downs e outros líderes de cibersegurança e de TI.  A saber:

1. Estabelecer o gerenciamento de patches como uma prioridade. Os funcionários de operações de TI geralmente aplicam correções, mas são puxados em várias direções por demandas e prioridades competitivas, diz Cosgrove. Portanto, os líderes empresariais que desejam cultivar uma disciplina forte de gerenciamento de patches precisam reconhecê-la como prioridade, desenvolver um cronograma de patches e alocar os recursos necessários para a tarefa.

2. Ter um inventário preciso. A TI precisa conhecer todos os ativos em seu ambiente para identificar quais patches são necessários quando os fornecedores os disponibilizam. "Você não pode consertar o que não sabe que tem", diz Scott Laliberte, diretor de marketing da Protiviti e líder da Global Information Security Practice da consultoria . Este objetivo pode ser impossível, particularmente em grandes organizações, mas os líderes empresariais devem trabalhar em direção a esse objetivo, padronizando o mínimo possível de plataformas para ajudá-los a chegar lá. Mapeamento de rede e automação também podem ajudar a criar o inventário mais preciso possível.

3. Desenvolver um procedimento de teste. “Você precisa olhar para todos os sistemas antes de aplicar a correção e certificar-se de que o patch não irá quebrar nada. Teste antes, siga todas as etapas e certifique-se de que não haja consequências adversas antes de aplicá-lo ”, diz Down. Brian Contos, CISO e vice-presidente de inovação tecnológica da Verodin, recomenda a implementação de um laboratório de testes emblemático do ambiente de produção. Ele reconhece que essa abordagem pode ser cara e demorada, "mas é menos dispendiosa do que quebrar algo em seu ambiente de produção".

4. Ser comprometido. As complexidades da pilha de TI moderna, com seus inúmeros pontos de integração, peças customizadas, complementos, etc., que geralmente se espalham entre vários locais, bem como terminais móveis, tornam as correções mais complicadas. “A TI precisa aceitar que haverá alguns problemas e resolver esses problemas em vez de adiar e evitar”, diz Laliberte.

5. Atribuir propriedade. Um departamento de TI típico tem muitos funcionários que aplicam patches como parte de seu portfólio de responsabilidades. Como resultado, o gerenciamento de patches pode se tornar uma tarefa feita por muitos, sem que venha a ser propriedade de alguém, dizem especialistas em TI e segurança cibernética. Mas é difícil para uma empresa ter um processo forte de gerenciamento de patches sem uma responsabilidade clara. “Não é necessário contratar um gerenciador de patches, a menos que você seja uma grande empresa multinacional que possa precisar de um. Mas deve haver um indivíduo, pelo menos um, em que o gerenciamento de patches seja oficialmente parte de sua responsabilidade ”, diz Down.

6. Documentar. Uma forte disciplina de gerenciamento de patches deve incluir, além de um inventário documentado de ativos, uma maneira de identificar e documentar patches conforme eles são liberados pelos fornecedores, quando eles estão programados para serem testados e implantados na empresa e quando as correções foram concluídas. Laliberte também recomenda o desenvolvimento de métricas e painéis para criar visibilidade da disciplina de gerenciamento de patches, para que a gestão da TI saiba onde as vulnerabilidades já foram abordadas, por quanto tempo o sistema pode ficar sem patches e onde as vulnerabilidades permanecem.

Políticas de gerenciamento de patches

Seguir essas etapas pode ajudar as empresas a garantir uma forte disciplina de gerenciamento de patches.

No entanto, os executivos de TI e cibersegurança estão bem servidos ao desenvolver uma política abrangente de gerenciamento de patches e adequar essa política a uma estratégia mais ampla de segurança cibernética , diz Contos.

“Todo mundo precisa aplicar apatches, mas essa tarfea precisa ser mais programática, frutode um esforço planejado, onde as coisas são avaliadas e testadas antes de entrarem em produção ”, diz ele.

Por causa das complexidades e riscos da aplicação de correções, e porque as pessoas de TI e de segurança têm tantas outras responsabilidades concorrentes, as organizações tendem a ter uma abordagem reativa, em vez de sistemática, para lidar com os patches, explica ele. Isso, no entanto, apenas aumenta o risco de ataques contra sistemas sem patches, bem como complicações resultantes de patches mal executados.

Contos aconselha os líderes corporativos a desenvolver uma política de gerenciamento de patches que considere os riscos de negócios e a postura de segurança geral da organização para determinar com que frequência e em que correções de cronograma precisam ocorrer. E a adotar as ferramentas necessárias para tornar o processo melhor gerenciado.

“Não é glamouroso”, ele admite, “e quando tudo está dando certo, ninguém sabe que você fez alguma coisa. Só quando algo dá errado é que Vão começar a se importar com o gerenciamento de patches. Mas o gerenciamento de patches feito corretamente é o gerenciamento de patches que foi validado ao longo do tempo. Não é uma reação instintiva ”.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui