A gestão de vulnerabilidades em sistemas da informação exige a capacidade de identificar, categorizar e gerenciar as vulnerabilidades conhecidas em tais sistemas, estejam elas em ativos conectados diretamente à rede corporativa, remotamente ou em nuvem. Este processo passa pela gestão de atualização de segurança (patch), mas não se limita a ela, pois é possível mitigar uma vulnerabilidade sem que exista um patch de segurança disponível.
Então, por que gerenciar a aplicação de patch? Porque a aplicação das correções disponíveis exige planejamento e demanda muitos recursos, normalmente de pessoas e tempo. Sistemas com vulnerabilidades não são corrigidos imediatamente. Após ser aplicada, é preciso testar uma correção para validar se os sistemas permanecem funcionais e, se uma falha na atualização acontecer, haverá um software ou aplicação crítica que deixou de funcionar impactando o negócio da corporação.
Ou seja, um processo sólido de gerenciamento de patches é parte essencial de uma estrutura de segurança madura. Um estudo conduzido pelo Instituto Ponemon aponta que 57% dos vazamentos ocorridos poderiam ter sido evitados caso a correção disponível na época tivesse sido aplicada. Sendo assim, quanto mais rápido você aplicar a correção ideal para o aplicativo/software, mais seguro será seu ambiente.
Quando uma correção é lançada ao público, a vulnerabilidade referida a esta correção também é divulgada com ela. Agora pense comigo, qual a abordagem preferida de um invasor para identificar uma possível falha: passar semanas e meses tentando encontrar uma vulnerabilidade ou ficar à espreita da correção mais recente para um sistema, apostando no fato de que a maioria das empresas não é rápida o suficiente para aplicá-los? A última opção parece muito mais fácil, não é mesmo?
Estruturar a aplicação das correções "em ondas" costuma ser comum e é bastante eficaz. Idealmente, definem-se quatro ambientes: Desenvolvimento, Homologação, Produção e Ambiente de Recuperação de Desastres (DR, Disaster Recovery) e seguimos, semana a semana, aplicando as correções disponíveis em cada um desses ambientes.
Semana 1, correção aplicada em DEV
Semana 2, correção aplicada em HML
Semana 3, correção aplicada em PRD
Semana 4, correção aplicada no DR
É uma abordagem que funciona e muito utilizada, mas que exige um esforço de gestão muito grande uma vez que os ambientes corporativos disponibilizam corriqueiramente centenas de aplicativos, utilizam outra centena de softwares, sistemas operacionais, equipamentos de rede, tudo isso de incontáveis fornecedores e fabricantes.
Uma conduta mais moderna permite associar tanto a visão em tempo real, fornecida por um agente instalado diretamente no ativo e que se responsabiliza por atualizar a informação das vulnerabilidades identificadas para uma central de monitoramento, quanto a "visão de um atacante", fornecida por um sensor que varre a rede a procura de vulnerabilidades, garantindo uma otimização dos trabalhos de detecção e correção, minimizando o esforço de gestão das vulnerabilidades e dos times envolvidos no processo.
Independentemente do caminho que sua empresa prefira seguir, seja mais tradicional ou vanguardista, o importante mesmo é ter em mente que implementar ações necessárias e amadurecer os processos de segurança da informação ainda é a melhor maneira de minimizar riscos.
Victor Ramirez, gerente de Operações na NovaRed Brasil.