30 de julho de 2019
Como é que um patch de software livre acabar custando US$ 700 milhões?
Quando você não o instala.
A maior violação de dados da história é uma dura lição sobre a importância de ter uma gerenciamento de patches política em vigor.
Uma lição difícil sobre práticas de patch fracas
Em setembro de 2017, a Equifax divulgou ter sofrido uma violação de dados que expôs informações pessoais de 150 milhões de pessoas. Informações de cartão de crédito, números de previdência social e outras informações exclusivas foram roubadas. De acordo com um relatório recente Artigo CNNA Equifax pagará entre US$ 300 e US$ 400 milhões para compensar as pessoas afetadas com serviços de monitoramento de crédito e outros US$ 275 milhões em multas civis.
Talvez o que deixou o público mais incrédulo foi saber da violação poderia ter sido evitadoA fonte da fraqueza na rede era um patch crítico de aplicativo web que havia sido divulgado pela Apache dois meses antes. A Equifax reconheceu que estava ciente do problema. remendo mas não o tinha instalado.
Política de gestão de manchas frouxa cria risco enorme
Embora a Equifax seja a maior violação conhecida até o momento, não há um único setor que não seja vulnerável a ataques cibernéticos. O alvo pode não ser informações pessoais. Os cibercriminosos representam ameaças a redes eléctricas, dados governamentais, de alta tecnologia projetos, dispositivos em hospitais, e controles que poderiam interromper o transporte. Outros ataques infames incluem:
• O 2003 Verme SQL Slammer (já faz tanto tempo?) atingiu todos os servidores SQL sem patch na internet; 75,000 instâncias SQL em 10 minutos. O patch da Microsoft ficou disponível por seis meses.
• O 2017 Ataque de ransomware WannaCry tirou 45 grupos de hospitais do NHS em todo o país do ar, apesar de dois meses de aviso do NHS e de um patch da Microsoft.
• O Centro Médico da Universidade de Washington (UW Medicine) de 2018 teve 973,024 registros violados depois que uma vulnerabilidade do servidor web não foi corrigida. Os arquivos continham pacientes informações pessoais de saúde (PHI).
Nenhuma indústria está imune à exploração. O maior risco reside onde há trabalhadores pobres monitoramento de patches e práticas de implantação. Patching é rigorosamente aplicada na Indústria de energia e serviços públicos, mas deve ser uma iniciativa principal de TI em todos os setores, dada a quantidade de informações pessoais e dados proprietários em jogo.
O gerenciamento de patches requer a tecnologia certa
Lançamentos de patch (software e firmware) podem vir de várias fontes, incluindo o fabricante, fontes de descoberta de patchese pesquisas manuais na web para ativos legados. O problema não é que a TI não saiba como encontrar um patch. O problema (e a oportunidade) da empresa é montar uma gerenciamento de patches política que utiliza uma sistema de rastreamento centralizado para todos os ativos em rede. Como resultado, o pessoal apropriado será responsável pela aplicação de patches dentro de um prazo especificado. Além disso, patches críticos podem ser escalados no momento em que uma aviso de patch chega.
Uma boa vigilância cibernética é um investimento. TI e TO não podem mais existir isoladamente, à medida que redes e sistemas de negócios convergem. O melhor retorno vem da utilização de múltiplas fontes para informações do patch e orientar essas informações por meio de um processo centralizado de remediação com registros indiscutíveis dos serviços prestados.
Uma solução centralizada deve ser capaz de se integrar a qualquer monitoramento cibernético e sistemas de relatórios para fornecer uma única fonte de verdade para todas as ações relacionadas a patches. O investimento em um “centro de comando” ajuda as operações de TI e a segurança de TI a serem responsáveis por sua parte na protegendo a infraestrutura de TI. Quando TI e TO trabalham juntas usando software que coleta dados e automatiza o componente humano de aplicação de patches, melhores resultados podem ser esperados.
Conclusão
É hora de mudar de olhando para gerenciamento de patches Política e tecnologia como um centro de custos de TI. Em vez disso, comece a considerar o custo de uma violação e o acesso às informações mais valiosas da sua organização. À medida que os dispositivos se tornam mais inteligentes e o software se torna mais complexo, as vulnerabilidades proliferam e, portanto, os patches também. Em resumo, uma abordagem proativa política de gerenciamento de patches orientada por regras automatizadas deve ser um elemento crítico de qualquer prática de segurança da informação de defesa em profundidade. Um sistema empresarial que impulsiona a ação e a responsabilização por gerenciamento de patches em todos os ativos de TI e TO terão um desempenho muito melhor contra agentes mal-intencionados.
