À medida que os fornecedores de sistemas operacionais e software avançam, criando e implantando patches de forma mais rápida e eficiente, a necessidade de gerenciamento de patches e atualizações permanece inescapável. No contexto das empresas, essa tarefa se mantém demorada, com impactos significativos na segurança, conformidade e operações diárias das equipes de TI e das organizações atendidas.
A realidade do gerenciamento de patches é clara: é essencial planejar e automatizar esse processo, não apenas como uma vantagem, mas como uma necessidade para empresas de todos os tamanhos. O Instituto Nacional de Padrões e Tecnologia (NIST) do governo dos EUA rastreia as vulnerabilidades relatadas e a “gravidade” de cada uma. O relatório mostra que há uma nova tendência no número crescente de vulnerabilidades que as equipes de TI não conseguem acompanhar sozinhas.
Compreender o gerenciamento de patches e desenvolver soluções eficientes tornou-se fundamental em qualquer estágio da carreira. Nunca é tarde para aprender ou revisitar as melhores práticas e estratégias. É por isso que iniciamos esta série sobre gerenciamento de patches com uma abordagem básica. Embora comece no nível iniciante, fique atento, pois desvendaremos insights mais profundos à medida que avançamos.
Explorando o Gerenciamento de Patches: Atualizações que Impulsionam a Eficiência
Em termos simples, o gerenciamento de patches refere-se ao processo de aplicação de atualizações de software. No entanto, para compreendermos mais profundamente, é fundamental entender a motivação por trás dessas atualizações. Ou seja, qual é o objetivo pretendido pelo fornecedor ao disponibilizar essa atualização? Geralmente, elas se enquadram em uma das seguintes categorias:
Novas Versões com Recursos Adicionais: Introdução de novas funcionalidades e melhorias no software.
Correção de Bugs: Resolução de erros e problemas identificados no software.
Correção de Vulnerabilidades de Segurança: Eliminação de brechas de segurança que podem existir no código do próprio software ou em códigos de terceiros integrados ao mesmo.
Independentemente da motivação do fornecedor de software (incluindo fornecedores de sistemas operacionais), eles costumam agrupar várias atualizações em um único "patch".
Curiosidade: O termo "patch" no mundo da TI remonta aos dias em que os computadores utilizavam cartões perfurados como entrada de dados. Quando um cartão era danificado ou as informações de entrada eram alteradas, era possível aplicar um "patch" para restaurar o funcionamento adequado do cartão.
Abrangência dos Patches: Quais Softwares e Dispositivos Demandam Atualizações?
A resposta inicial a essa pergunta é: todos eles! No entanto, vamos expandir esse conceito para uma melhor compreensão.
Durante muitos anos, o gerenciamento de patches era predominantemente aplicado a servidores e estações de trabalho. No entanto, atualmente, essa prática se estende a uma variedade de dispositivos, incluindo IoT (Internet das Coisas), dispositivos e aplicativos móveis, e até mesmo eletrodomésticos "inteligentes". Quando o termo "inteligente" é associado a um produto, é provável que ele necessite de atualizações. Para as empresas, o foco deve estar em:
Mac
Sistemas operacionais Windows
Software Onpremise
Aplicativos baseados em nuvem (mesmo quando conduzidos pelo fornecedor)
A ideia de que aplicativos em nuvem ou SaaS não necessitam de atenção para patches e atualizações é equivocada. Ao selecionar fornecedores e ferramentas, é fundamental considerar o nível de segurança oferecido pelo fornecedor, e isso deve ser levado em consideração na sua escolha.
Afinal, a nuvem nada mais é do que o computador de outra pessoa! Portanto, é essencial garantir que a segurança e a confiabilidade estejam em níveis adequados ao selecionar serviços baseados em nuvem.
Que tipos de patches existem?
Não existe uma resposta padronizada para os rótulos que diversos fornecedores atribuem aos tipos de patches ou à gravidade deles. No entanto, uma abordagem comum pode ser observada. Vamos revisitar a lista que apresentamos sobre as "motivações" de um patch.Os patches não relacionados à segurança geralmente são categorizados com base no tamanho da atualização/patch.
Patch - corrigiria um único problema ou uma atualização com vários bugs sendo resolvidos
Versão secundária — normalmente é um conjunto de pequenas alterações de recursos e correções de bugs
Versão principal—Contém o trabalho de recursos principais, bem como todas as outras atualizações até este ponto, incluindo correções de bugs.
Patches relacionados à segurança
OBSERVAÇÃO: os patches de segurança podem ser lançados separadamente dos patches não relacionados à segurança, mas geralmente são agrupados.
Dia zero — são patches de emergência que exigem implantação imediata com base na gravidade e no volume de ataques que o exploram. Estes tendem a ser raros.
Patches de segurança críticos — são atualizações de segurança importantes que devem ser levadas muito a sério e devem ser as primeiras a serem implantadas. Devem proteger seus dispositivos mais críticos.
Patches de segurança importantes — esses patches tendem a ter consequências menos graves do que críticas, mas, por outro lado, ainda vale a pena implantar e tratar com o mesmo cuidado que os patches críticos.
Moderado — geralmente são pequenas atualizações de segurança ou correções que afetam muito poucos ou são limitadas nos ganhos que um ataque pode obter ao explorá-lo.
Baixo — esses são problemas de segurança muito pequenos que normalmente têm baixos ganhos de invasores e altos níveis de esforço para explorar.
Agora alguns podem acreditar que a lista acima não é perfeita ou não é como o fornecedor XYZ vê o mundo e isso pode ser verdade. Embora o ponto aqui seja simplesmente usar uma abordagem de bom senso sobre como desembaraçar a infinidade de convenções de nomenclatura para que você possa se relacionar com o que cada fornecedor usa.
Por exemplo, se você clicar neste link, verá os tipos de atualização de software do Windows 10 . Eles fazem sentido para a Microsoft, mas não se aplicam a todos os fornecedores de software.
Como os agentes de ameaças usam software sem patches?
Para compreender como as ameaças exploram software não-patcheado, é útil lembrarmos os objetivos e motivações por trás dessas ameaças. Em tempos passados, os agentes de ameaças eram simples vândalos, porém, atualmente, eles se transformaram em organizações criminosas sofisticadas e bem financiadas, operando como verdadeiros negócios. Assim como qualquer empresa, eles identificam seu mercado-alvo e buscam atingir o maior número possível desses alvos. Quando encontram uma vulnerabilidade, procuram maximizar o proveito dessa situação.
No que se refere à aplicação de patches, a seguir está uma lista rápida de como o software sem patch atua nisso:
Alcançando um público amplo Os agentes de ameaças procurarão aplicativos de software que sejam os mais usados pela maioria das empresas, como Microsoft OS, Office, Adobe, navegadores da Web e muito mais.
Encontre os “ganhos” fáceis Eles tendem a atacar o software mais vulnerável, que geralmente é o software e os sistemas operacionais legados sem suporte/quase sem suporte. O Windows 7, ou Exchange 2003 são os principais alvos.
Obtenha acesso e persista Há muitas maneiras pelas quais um software não corrigido pode deixar um ambiente vulnerável a ameaças de segurança, das quais aqueles que fornecem permissões elevadas ou acesso a vários dispositivos são valiosos para os agentes de ameaças. Eles usarão esse acesso para continuar seu processo e se espalhar pela rede, dando a eles uma chance melhor de não serem pegos e acessar mais dados.
Como um serviço de gestão de patch pode me atender ?
Escopo e visibilidade Um bom programa de patch precisa começar com o escopo da rede que você deseja corrigir. Isso deve incluir quais dispositivos, por grupo, com algum nível de importância relacionado à redução do risco de tempo de inatividade dos negócios. A parte de visibilidade deve incluir um plano que permita que você descubra continuamente os dispositivos que entram e saem da empresa.
Políticas Com base na importância de um dispositivo ou grupo de dispositivos, ou com base na gravidade de um patch, você deve planejar e manter a documentação das políticas desejadas e saber quais patches serão implantados.
Operações de patch (granularidade da aplicação) Embora as operações de patch estejam muito próximas das políticas, a principal diferença aqui é como você e suas equipes gerenciarão o dia-a-dia da aplicação de patches. Nem todos os patches funcionarão corretamente e nem todos os dispositivos precisam ou desejam os patches mais recentes devido a conflitos ou dependência de aplicativos herdados. O importante aqui é não se sobrecarregar com todos os dispositivos de uma só vez.
Teste de patch e verificação Certifique-se de que haja um grupo piloto de dispositivos testados que contenha uma combinação de dispositivos não críticos (servidores, estações de trabalho etc.). Isso pode fornecer informações sobre o quão bom ou ruim seu próximo lançamento pode ser.
Governança Como vemos no relatório do NIST, mais e mais patches de segurança são necessários a cada ano e realmente não há como acompanhar manualmente. É importante que apenas o software necessário seja instalado nos dispositivos da empresa. Isso significa configurar a governança e o monitoramento para identificar e remover qualquer software não autorizado.
Boas Práticas para Atualização de Patches em Estações
Qual a Frequência de Atualização Recomendada?
Em primeiro lugar, é importante discutir a frequência ideal para aplicar patches. Na minha opinião, todas as estações devem ser atualizadas semanalmente. Essa abordagem ajuda a prevenir problemas caso alguma janela de atualização seja perdida ou se ocorrer falhas nas atualizações. Algumas pessoas ainda seguem um cronograma mensal para as atualizações, mas acredito que isso aumenta o risco para a empresa ou clientes mais do que gostaria de tolerar. Portanto, minha recomendação usual é a atualização semanal.
Qual o Melhor Horário para Aplicar Patches?
Outra questão frequente é qual o horário ideal para executar as atualizações. A resposta depende da ferramenta de gerenciamento de patches que você utiliza. Algumas ferramentas forçam automaticamente uma reinicialização durante a janela de instalação e, nesse caso, é provável que você queira realizar as atualizações fora do horário de trabalho (para estações de trabalho). No entanto, esse horário pode resultar em resultados mistos para laptops, pois muitas pessoas não deixam seus laptops abertos durante a noite, a menos que estejam trabalhando ou tenham esquecido de desligá-los.
Atualmente, a maioria das plataformas oferece a opção de "atualizar mais tarde, caso perca a janela", o que permite que você aplique as atualizações em um dispositivo na próxima vez que ele estiver online. Essa é uma opção que definitivamente recomendo, especialmente se os usuários finais possuírem computadores recentes.
Quando Aprovar as Atualizações para Instalação?
A próxima etapa na programação é decidir quando aprovar as atualizações para instalação. Algumas ferramentas permitem a aprovação automática com um atraso. Se sua ferramenta possui essa funcionalidade, ela é, definitivamente, a mais recomendada em minha opinião. Você pode configurá-la para aprovar automaticamente todas as novas atualizações, com base na gravidade, após cinco ou sete dias. Dessa forma, os primeiros usuários podem identificar possíveis problemas, e você pode desaprovar a atualização antes que ela seja instalada, se necessário. Caso sua ferramenta não possua essa opção, sugiro que você aprove manualmente as atualizações ou agende a instalação com um atraso de cinco dias.
Como Agendar as Atualizações?
Agora que definimos quando aplicar os patches e quando reiniciar, vamos discutir o próximo aspecto: quais atualizações você deve instalar? Acredito que todas as atualizações devem ser aplicadas, desde que você siga algumas práticas recomendadas simples. Por exemplo, qualquer atualização relacionada à segurança ou essencial para a estabilidade deve ser instalada no início do processo. A decisão pode se tornar mais complicada quando se trata de drivers, pacotes de recursos e outras atualizações de baixa prioridade. Em minha opinião, elas também devem ser instaladas, mas é uma questão de decidir quando fazê-lo.
Normalmente, recomendo seguir a mesma regra que você aplica para os patches regulares, ou seja, aguarde uma semana ou mais antes de instalá-las. Para pacotes de recursos ou grandes atualizações semestrais lançadas, você pode adiar um pouco mais, mas geralmente, após um mês ou dois, é importante instalá-las para manter o suporte e a capacidade adequada do sistema.
A lição aqui é aplicar as atualizações com frequência, ser deliberado nesse processo e seguir algumas práticas recomendadas para garantir a segurança e eficiência de suas estações de trabalho.
Caso você queira saber mais sobre como podemos ajudá-lo com as atualizações automatizadas e programadas de patches de segurança da sua empresa entre em contato conosco através do nosso site asg.com.br e solicite nosso contato.
