PÁGINA INICIAL DO BLOG

  • AssurX - Gerenciamento Disciplinado de Patches para Segurança Cibernética Empresarial

6 de Junho de 2017

O enorme ataque cibernético global de 12 de maio demonstrou uma grande lição sobre gerenciamento disciplinado de patches. O agressivo e insidioso ransomware WannaCry impactou mais de 400,000 sistemas em mais de 150 países que executam sistemas operacionais (SO) baseados em Windows. Ironicamente, se não fosse por uma herói acidental registrar um domínio, poderia ter sido muito pior.

Consequentemente, o ataque foi um alerta, principalmente para empresas que executam sistemas mais antigos e empresas com deficiências em suas práticas de aplicação de patches de software.

Hacking é uma arma, não um jogo

Hackear não é mais um jogo jogado por geeks de computador como um desafio; é nada menos que uma potencial arma de destruição em massa. Criminosos estão por toda parte no mundo cibernético. Robôs tripulados e não tripulados vagam pelos vastos espaços da internet 24 horas por dia, 7 dias por semana, batendo em portas destrancadas em busca de entrada e causando estragos, destruição e roubo. Hackers estão prontos para explorar vulnerabilidades de software conhecidas, resultantes de programas de gerenciamento de patches de software inadequados.

Aviso justo

De acordo com as O Washington Post, a NSA alertou a Microsoft sobre um vazamento de exploit. Além disso, o US-CERT emitiu um aviso de segurança urgente em janeiro e instou as empresas a desativar o suporte ao protocolo. Por fim, a Microsoft lançou patches para corrigir a vulnerabilidade que permitia a disseminação do worm pelas redes.

No entanto, muitas empresas não tomaram nenhuma providência. Em geral, os computadores infectados no ataque foram considerados dispositivos desatualizados que, por algum motivo, não valiam o preço da atualização. Em alguns casos, computadores envolvidos em funções de fabricação ou hospitalares ficaram sem patches devido à potencial interrupção de operações críticas. Não é de surpreender que os hospitais tenham sido os mais afetados.

Infelizmente, qualquer pessoa diretamente responsável pela higiene de seus softwares não pode ignorar os fatos. Hoje, existem milhões de sistemas Windows antigos em execução, e ainda funcionando bem, e os criminosos sabem disso.

Mapa de calor do ransomware WannaCry

Estatísticas assustadoras: 19 dias após o início do ataque do ransomware WannaCry, mais de 72% dos sistemas afetados permaneciam offline.

Um alerta para o gerenciamento disciplinado de patches

Na maioria dos casos, é provável que a equipe de TI soubesse da atualização, mas não tomou medidas imediatas. Este ataque serve de alerta para... Avalie suas estratégias de gerenciamento de patches.

Com o recente ataque de ransomware, bem como outro patch para uma vulnerabilidade crítica de execução de código para Linux e Unix, setores regulamentados estão se esforçando para elaborar um plano. Sem um programa disciplinado de gerenciamento de patches, o comprometimento de dados terá um custo elevado, onde a interrupção de serviços e dispositivos pode, na pior das hipóteses, colocar vidas em perigo.

Regulamentação da Gestão de Patches na Indústria Energética 

Um setor onde um uma abordagem disciplinada de gestão de manchas é requeridos para evitar a exploração de vulnerabilidades cibernéticas é o indústria de energia e serviços públicos. A indústria compreende a imensa ameaça de ataque cibernético à Sistema Elétrico a Granel (BES). Esse tipo de exploração tem o potencial de danificar a rede elétrica e deixar pessoas sem energia, no escuro e no frio, por dias ou até meses.

Como resultado, o Corporação de Confiabilidade Elétrica da América do Norte (NERC) implementou regulamentações obrigatórias para a gestão de sistemas de segurança cibernética, incluindo gerenciamento de patches de software (Norma CIP-007). Fornecedores de energia e serviços públicos correm o risco de grandes penalidades financeiras por não conformidade.

Regulamento de Segurança Cibernética da NERC

Siga o exemplo da NERC

A AssurX trabalha em estreita colaboração com empresas de energia que estão implementando a conformidade de ativos cibernéticos. É, sem dúvida, a abordagem mais estratégica para a segurança cibernética que já vimos. Outros setores deveriam considerar Regulamentos NERC CIP como um modelo a ser seguido no desenvolvimento de práticas, políticas e procedimentos disciplinados para gestão de ativos.

Por ativos, NERC não quer dizer apenas laptops e desktops. Qualquer dispositivo dentro do perímetro de segurança é considerado uma vulnerabilidade potencial.

Conclusão

O ataque WannaCry levantou questões urgentes sobre a aplicação de patches de software e práticas de divulgação de vulnerabilidadesNão há dúvidas de que um ataque dessa magnitude pode acontecer em qualquer lugar, a qualquer momento, em qualquer software ou firmware de sistema.

Uma abordagem proativa para defender os ativos cibernéticos da sua empresa não é mais uma opção. Comece a avaliar estrategicamente sua disciplina para rastrear seus ativos e aplicar patches.  AssurX trabalha com grandes concessionárias implementando processos com nossos sistema de gestão de conformidade para inventário e aplicação de patches de ativos cibernéticos. A plataforma AssurX cria um regime disciplinado para gerenciamento de patches.

Contato AssurX para saber mais sobre um solução de gerenciamento de conformidade para proteger seus ativos cibernéticos.

Solicite uma demonstração do AssurX