Patch and Vulnerability Management

Os produtos de gestão de ‘patches’ [correcções/actualizações] e de vulnerabilidades automatizam o processo desanimador de aplicar actualizações de aplicações e de sistemas operativos. As ferramentas de gestão de vulnerabilidades disponibilizam ainda funcionalidades como identificação de activos e classificação de vulnerabilidades à medida que aplicam o patch de software. Algumas ferramentas incluídas nesta categoria conduzem scans específicos para identificar vulnerabilidades e partilhar esta informação com os produtos que possuem condições de aplicar o actual patch a um determinado equipamento. Esta classificação de wares – como produto ou como serviço – irá suportar sistemas operativos específicos e aplicações. O administrador de redes que esteja interessado em automatizar a gestão de ‘patches’ de um ambiente com dezenas de sistemas operativos e milhares de aplicações pode necessitar de utilizar múltiplos produtos de gestão de patches. As ferramentas podem requerer agentes de software para recolher informação acerca das vulnerabilidades.

Gestão de ‘patches’ está transformar-se em gestão de vulnerabilidades
A gestão de ‘patches’ cresceu e passou a incluir a gestão de vulnerabilidades.

A gestão de ‘patches’ está focalizada na automatização e administração de ‘patches’, enquanto a gestão de vulnerabilidades possui um âmbito mais alargado e é utilizada para classificar produtos que disponibilizam mais funcionalidades, desde a identificação de activos à classificação de vulnerabilidades. Este âmbito mais alargado, assim como as pressões de conformidade, tem vindo a ser responsáveis pelo crescimento e inovação neste mercado, referem os analistas da IDC. Com efeito, a IDC prevê que em 2011 três segmentos do mercado da segurança e de gestão das vulnerabilidades irão ultrapassar 700 milhões de dólares de receitas. Estes segmentos são as políticas de conformidade, a segurança de informação e ‘patching’ e tratamento.
Manter equipamentos clientes seguros tem-se tornado crescentemente complicado, assinalam os analistas da Forrester Research. E a situação não vai melhorar tão cedo. A variedade de equipamentos clientes, e correspondentes opções disponíveis de sistemas operativos, conjugado com os ambientes distribuídos, torna o processo de controlar computadores pessoais uma tarefa difícil. Adicionalmente, os ambientes de computadores pessoais permanecem um custo pesado associado à rede corporativa. Ferramentas que automatizam a gestão de ‘patches’ dos sistemas operativos, das avaliações das vulnerabilidades do software e de gestão de sistemas prometem auxiliar os departamentos de TI a administrar os seus ambientes de computadores pessoais com maior segurança e menores recursos humanos. Os maiores fabricantes, nomeadamente a Computer Associates, a Hewlett-Packard e a Symantec, detêm a maior parte do mercado de gestão de equipamentos clientes, mas podem não ser os mais adequados a todas as organizações. Fabricantes mais recentes e de menor dimensão disponibilizam soluções concorrentes, referem os analistas da Forrester Research.

Gestão de ‘patches’ não é apenas para o Windows
Estas quatro dicas irão auxiliá-lo na selecção dos produtos adequados às necessidades da sua organização.

Quando procurar produtos de gestão de ‘patches’ e de vulnerabilidades utilize os seguintes conselhos como guia.
1) Valide que o seu fabricante de gestão de ‘patches’ suporta não apenas os sistemas operativos e as aplicações que necessita de actualizar, mas também as aplicações favoritas dos ‘hackers’. É crucial ter condições para realizar o ‘patch’ destas aplicações que podem ser automaticamente lançadas a partir do ‘browser’. Algumas destas aplicações incluem o Adobe Flash Player, o Apple QuickTime, e até o WinZip. Mas adicionalmente, um produto de gestão de patches que possa actualizar o seu software de antivírus corporativo, aplicação de correio electrónico e a base de dados SQL é aconselhável. Mesmo que utilize apenas sistemas operativos e servidores Microsoft, um sistema de gestão de ‘patches’ da Microsoft pode não ser suficiente.
2) Utilize os critérios acima para determinar quais aqueles que melhor se adequam às suas necessidades, um produto de instalação de ‘patches’ ou um produto de gestão de ‘patches’ componente da gestão de sistemas. Existem um conjunto de produtos isolados para gestão de ‘patches’. Alguns produtos combinam a gestão de ‘patches’ com funcionalidades de gestão de configurações e de controlo de alterações. Outros adicionam estas funcionalidades num esquema mais global de gestão de sistemas. Tenha ainda em consideração que muitos dos produtos de gestão de sistemas existentes integram a gestão de ‘patches’. A sua escolha irá depender se o produto de gestão de sistemas contempla a multiplicidade de sistemas operativos que necessita de actualizar. Em caso negativo, e pode querer implementar ferramentas de gestão de configurações, combine a ferramenta de gestão de ‘patches’ que melhor se integra com a sua ferramenta de gestão de configurações. Se possui uma lista específica de produtos para actualizar e o fabricante do produto de actualização de ‘patches’ tem condições para os actualizar a todos, então, e mesmo que utilize um produto de gestão de configurações, o produto isolado pode ser a melhor escolha.
3) Com agentes ou sem agentes de software? A batalha antiga entre ferramentas baseadas em agentes ou ferramentas sem agentes de software continua a ditar a regras no Mercado de gestão de ‘patches’. Os agentes permanecem o método preferido de muitos dos fabricantes de software. Assegurar que os equipamentos clientes são actualizados adequadamente é um dos benefícios da utilização de ferramentas com agentes de software. Por outro lado, permite que os fabricantes disponibilizem muitas das funcionalidades extra que são apreciadas pelas organizações, como sejam gestão de activos ou opções de reforço das políticas. É preferível para equipamentos com ligações intermitentes (como os portáteis) e para equipamentos com ligações lentas que não suportam a sobrecarga das comunicações sem agentes. A necessidade de implementação de agentes em todos os equipamentos para que a gestão de ‘patches’ seja efectiva é um dos principais problemas associados às ferramentas com agentes de software. Na selecção desta abordagem, os administradores de redes de Comunicações tem que assegurar uma eficiente implementação de software baseado em agentes. Estes agentes necessitam de ser mantidos e, potencialmente, actualizados. A gestão de ‘patches’ sem agentes de software não possui o problema da manutenção dos sistemas baseados em agentes, mas os seus fabricantes foram mais criativos no modo como resolveram a questão de actualizar e de controlar os equipamentos individuais.
4) Não é somente para o sistema operativo Windows. Apesar do anúncio ”Patch Tuesday” da Microsoft na primeira terça-feira de cada mês, existe um crescente número de componentes da infra-estrutura de rede de comunicações que necessita de actualizações e de manutenção, tais como produtos de VoIP e de virtualização. Os seus produtos de gestão de ‘patches’, assim como as suas politicas necessitam de ter em consideração a frequência com que os fabricantes das diferentes áreas anunciam novas ‘patches’ de actualização dos seus produtos.

Boas práticas
Uma abordagem sistematizada facilita o trabalho de gestão de ‘patches’.
•    Crie um grupo responsável pela identificação, teste e execução dos ‘patches’. Os membros devem incluir pessoas da equipa de segurança e das operações diárias. A equipa deve incluir as correcções/actualizações num fluxo de trabalho de gestão de alterações para que os ‘patches’ menos críticos não esperem demasiado para serem testados e implementados. Estes ‘patches’ irão ser implementados com um calendário semelhante ao de outras actualizações e alterações.
•    Utilize uma abordagem faseada nas actualizações de ‘patches’. Em primeiro lugar, instale-as num pequeno grupo de utilizadores de teste antes de realizar uma instalação generalizada. Quando trabalhar com um pequeno grupo de teste, reinicie após cada ‘patch’, em lugar de reiniciar após um conjunto de ‘patches’, para auxiliar na identificação de qual o ‘patch’ que poderá ter problemas.
•    Normalize as configurações de TI sempre que tal seja possível. Obviamente, que ninguém possui uma infra-estrutura completamente normalizada. No grupo de teste, assegure-se que inclui um exemplo de cada configuração típica que actualiza com o produto de gestão de ‘patches’.
•    Inclua uma fase de medida após a implementação de cada ‘patch’. Tal deverá medir os níveis actuais de susceptibilidade a ataques, mas deverá ainda documentar o tempo necessário para realizar tarefas de correcção e de actualização, assim como o seu custo. Tal vai auxiliá-lo em decisões futuras sobre o processo de actualização de ‘patches’.
•    Automatize o processo de gestão de ‘patches’ tanto quanto possível.

Como funciona
A maior parte das ferramentas de ‘patch’ e de vulnerabilidades seguem padrões de fluxo de trabalho semelhantes.
1) A política de segurança da organização é o ponto de partida para os procedimentos de gestão de ‘patches’. As politicas devem definir quais os activos de TI que são críticos, qual a rapidez com que os ‘patches’ críticos deverão ser instalados e qual a rapidez com que os restantes ‘patches’ deverão ser instalados.
2) Baseado na capacidade de identificar os activos de rede, o passo inicial envolve a captura de informação sobre vulnerabilidades. Tal irá utilizar um processo de scanning, baseado ou não em agentes de software.
3) Um método de fluxo de trabalho é necessário para estabelecer prioridades e atribuir tarefas de gestão de ‘patches’ e para report on how and when this is carried out.
4) O processo de correcção de instalar as actualizações de software é por vezes automatizado mas, com mais frequência, é calendarizado para que não interfira com o processo de produção.
5) Para a correcção calendarizada, a fase de teste está concluída quando se verifica que o ‘patch’ não irá alterar as outras aplicações.
6) A ferramenta deverá ter algum método de lidar com uma implementação fracassada. Tal deverá incluir sugestões sobre o modo de alterar as configurações para tornar a implementação bem sucedida.
Como realizar a gestão de ‘patches’
Até aqui os nomes são familiares. Nachi, Klez, Lovsan, SoBig, BugBear, Swen, Blaster e Yaha representam exemplos de vírus e ‘worms’ que proliferam nas redes corporativas. Mas todos eles têm uma coisa em comum: os ‘patches’ estavam disponíveis antes que pudessem fazer estragos.
Então porque é que os intrusos continuam a criar tanto alarido?
Porque a gestão de ‘patches’ é dura.
E é dura porque existem muitos ‘patches’ e pouco tempo para os instalar e porque os ataques às vulnerabilidades existentes materializam-se a um ritmo crescente. É dura porque os equipamentos clientes tornaram-se alvos dos ataques e pela ameaça de re-infecção através dos trabalhadores móveis que se ligam à rede corporativa.
E não são apenas as vulnerabilidades dos produtos Microsoft. Apesar do Windows obter a maior fatia dos ataques e a animosidade dos utilizadores finais, a lista de alvos inclui routers, switches, firewalls; e os sistemas operativos Unix e Linux.
Não é provável que as correcções e actualizações venham a desaparecer, referem osespecialistas, mas existem maneiras de endereçar a tarefa proactivamente para minimizar a exposição.
“As actualizações de ’patches’ são um processo físico”, refere James Williams, director do RBC Centura Bank. “Mas tem que gerir esse processo e para o fazer necessita de alguma estrutura”.
O RBC Centura Bank possui uma equipa de 11 pessoas que integram a equipa de resposta a incidentes de segurança que matem aquilo que James Williams designa como um processo de gestão de ‘patches’ “muito sistemático e muito organizado”. Este processo utiliza inventário, práticas de controlo da mudança e implementação automatizada suportada por ferramentas da Ecora, IBM/Tivoli e outros.
“Posso não ter as pessoas suficientes mas tenho processos e organização que me auxiliam a contemplar esta questão”, refere.
Como corrigir e actualziar
Felicia Nicastro, consultora da International Network Services, refere que o maior erro que as organizações cometem é o de menosprezarem a monitorização de novas ‘patches’. Tal deve ser realizado adicionalmente com a avaliação detalhada, teste, implementação e validação que uma equipa ou um indivíduo desempenha.
“Tipicamente, não é uma tarefa para uma só pessoa. Tem que envolver o grupo de segurança, de operações e os programadores”, afirma. “Aquilo que torna duro o processo de actualização é a ausência de recursos”.
Felicia Nicastro refere que as organizações necessitam de colocar em funcionamento diferentes componentes antes do processo de gestão de ‘patches’ e das ferramentas que o acompanham: inventário de redes, gestão de alterações, gestão de configurações, gestão de activos, manutenção formal de registos, compreensão dos custos envolvidos, orientações de prioridades e planos de manutenção e de comunicação.
Inventário, ou documentar qual o software executado num determinado equipamento, é o primeiro passo e pode ser o maior custo porque demora tempo. Algumas das ferramentas de gestão de ‘patches’ realizam tarefas de auto-descoberta, assim como algumas ferramentas de gestão de configuração. Mas o acompanhamento humano continua a ser necessário porque um servidor com ‘bugs’ ou subavaliado pode ser a porta de entrada de um worm.
O inventário está ligado à gestão de activos, alterações e configurações. “Se analisa a configuração, então sabe o que pode ter sido alterado e tal pode auxiliar nas futuras actualizações”, salienta a consultora da International Network Services.
Em seguida o processo contempla a monitorização de novas vulnerabilidades e actualizações disponíveis para tudo aquilo que consta do inventário. Assim que uma vulnerabilidade é identificada e classificada como ameaça, as equipas de TI, dados e operações devem trabalhar conjuntamente para introduzir o ‘patch’ através de um processo de implementação estabelecido.
“Muitas vezes as organizações não possuem recursos financeiros para suportar um laboratório ou um ambiente duplicado, mas no mínimo devem tentar duplicar os sistemas críticos de negócio, como um servidor Web com base de dados”, refere Felícia Nicastro.
Após testar, distribuição do patch, implementação, identificação das excepções, monitorização e relatórios devem ser realizados. Felícia Nicastro refere que nas alturas em que as actualizações se tornam num exercício de combate ao fogo, as organizações devem colocar de quarentena o o virus ou worm em segmentos da rede e actualizar utilizando os seus processos documentados.




Deixe um comentário

O seu email não será publicado