Pesquisa: metade das empresas corrige vulnerabilidades em um mês - por quê?

Pesquisadores da Kollective, uma empresa de entrega de conteúdo definido por software, realizaram uma pesquisa entre duzentas organizações americanas e britânicas. Eles descobriram que quase metade das empresas precisava de um mês inteiro para fechar uma vulnerabilidade conhecida. Explicaremos por que isso acontece e o que pode ser feito sobre isso.


/ PxHere / PD

As empresas instalam patches por muito tempo

A pesquisa da Kollective foi realizada entre os chefes dos departamentos de TI. 45% dos entrevistados de grandes corporações (que têm mais de 100 mil terminais de rede) disseram que precisam de cerca de 30 dias para instalar o patch. Outros 27% disseram que às vezes leva vários meses para instalar as atualizações.

Com um número crescente de ameaças cibernéticas, uma abordagem semelhante parece inaceitável. Segundo a Symantec, no ano passado o número de ataques de ransomware aumentou 36%. Além disso, sabe-se que mais de 230 mil amostras de malware aparecem todos os dias.

Nesse sentido, nos últimos dois anos, o tempo de instalação do patch, que a empresa tem antes dos invasores aproveitarem a vulnerabilidade, diminuiu 29%. No entanto, uma simples atualização de segurança ainda é um dos métodos de proteção mais eficazes. Em muitos hacks e despejos de dados, os hackers exploram vulnerabilidades para as quais um patch já foi lançado.

A ServiceNow realizou uma pesquisa entre 3 mil especialistas em segurança da informação de todo o mundo e descobriu que 56% das empresas poderiam ter evitado o vazamento de informações no passado se instalassem uma atualização a tempo. Um exemplo seria o roubo maciço de dados pessoais da Equifax nos EUA. Mais de 140 milhões de americanos entraram na rede.

Esse incidente poderia ter sido evitado se os especialistas da agência de crédito instalassem o patch a tempo. Os hackers usaram a vulnerabilidade na estrutura do Apache Struts ( CVE-2017-5638 ) devido a um erro no tratamento de exceções. Um patch para esta vulnerabilidade foi lançado dois meses antes do ataque ao Equifax.

Por que atrasar atualizações

1. Falta de pessoal. Os departamentos de segurança da informação sofrem com a falta de especialistas qualificados. De acordo com a organização sem fins lucrativos ISACA, até 2019 haverá uma escassez de pessoal de segurança da informação no setor. A escassez será de aproximadamente 2 milhões de pessoas.

Isso já afeta diretamente a proteção das organizações contra ataques cibernéticos. Em um estudo da McAfee em 2016, um quarto dos entrevistados disse que a falta de especialistas em segurança da informação em sua empresa levou a vazamentos de dados.

2. Gerenciamento de instalação de patches ineficaz. No entanto, a expansão da equipe de especialistas em segurança da informação na empresa nem sempre leva a um aumento na confiabilidade da infraestrutura de TI. O ServiceNow observa que você não deve esperar maior segurança até que os processos de negócios associados às correções sejam modificados.

A taxa de fechamento da vulnerabilidade é afetada por um grande número de processos manuais. Existem empresas que ainda usam o Excel para gerenciar o patch. Uma empresa da Fortune 100 chegou a formar todo um departamento de funcionários responsáveis ​​pelo gerenciamento de planilhas com dados de vulnerabilidade - eles escrevem lá se há um patch, quem o instala etc.

De acordo com o vice-presidente de pesquisa em nuvem da Trend Micro, Mark Nunnikhoven, é precisamente a falta de automação no processo de atualização dos sistemas de TI nas empresas, que se tornou uma das principais razões para a ampla adoção do WannaCry.

3. A dificuldade de priorizar atualizações. Segundo a publicação CSO, outro motivo para a lenta atualização dos sistemas é o excesso de patches. É difícil para os profissionais de segurança priorizar e decidir quais precisam ser definidos antes dos outros. Mesmo no caso de Spectre e Meltdown, os especialistas expressaram opiniões contrárias: alguns sugeriram esperar, enquanto outros estavam com pressa de instalar patches mais rapidamente.

A situação é complicada pela lenta reposição de bancos de dados com vulnerabilidades. Até agosto deste ano, mais de 3 mil ameaças detectadas de janeiro a junho de 2018 não se enquadravam nos bancos de dados CVE e NVD. Quase metade deles recebeu a maior classificação de perigo para o CVSSv2.

4. A complexidade da instalação. Barkly conduziu uma pesquisa sobre a instalação das atualizações Meltdown e Spectre entre profissionais de segurança. 80% dos entrevistados consideraram o processo de instalação de patches para fechar vulnerabilidades nos chips Intel "pouco claro".

“Quando Meltdown e Spectre apareceram, não havia um utilitário de teste conveniente para identificar essas vulnerabilidades. Com o tempo, as concessionárias começaram a aparecer, mas era impossível garantir sua confiabilidade, diz Sergey Belkin, chefe do departamento de desenvolvimento 1cloud . - Mais tarde, a Microsoft propôs um método de verificação, mas era bastante complicado. No entanto, havia soluções (em particular, para várias distribuições Linux ) que possibilitaram descobrir se o Meltdown e o Spectre são afetados ou não por um único comando no console. ”

Como aumentar a velocidade das atualizações

1. Automatize a instalação dos patches. A automação do processo de atualização simplifica a tarefa para administradores e usuários finais. O próprio sistema baixa patches da Internet e o administrador do sistema precisa seguir o processo de instalação. Isso é especialmente importante para os provedores de nuvem, pois eles executam um grande número de "máquinas".

Existem ferramentas (como o HPE Server Automation) que atualizam centralmente os sistemas operacionais nos servidores do data center. Eles permitem que você selecione os patches necessários oferecidos pelo fornecedor do SO. Mesmo com a ajuda deles, você pode configurar o próprio processo de instalação, por exemplo, para excluir atualizações que não são adequadas para um ambiente específico.

2. Treine funcionários. Um papel importante para garantir a segurança dos dados é desempenhado pelas pessoas. Portanto, é necessário aumentar a conscientização dos especialistas em TI e funcionários comuns da empresa, investir dinheiro e tempo, pelo menos nos cursos de higiene cibernética básica.


/ Flickr / kelly / cc

Em geral, uma variedade de métodos pode ser usada para aprender melhor sobre segurança de dados, como gamificação. A PricewaterhouseCoopers Australia joga o jogo Game of Threats entre seus clientes quando equipes de “hackers” e “defensores do sistema” competem em um simulador especial.

3. Invista mais em segurança cibernética. Segundo o Gartner, em 2018, os gastos das organizações com segurança cibernética aumentarão 12,4% em relação ao ano passado. As empresas gastam mais em automação de processos e novas tecnologias de proteção de dados, para que os especialistas em segurança da informação possam trabalhar com mais eficiência.

O que vem a seguir

A instalação lenta de atualizações de segurança é um problema do sistema. E, provavelmente, isso causará "inconveniência" por um longo tempo, especialmente à luz da descoberta de novas vulnerabilidades importantes em processadores, como o Foreshadow . No entanto, se mais empresas começarem a instalar patches rapidamente, isso afetará positivamente todo o ecossistema e reduzirá significativamente o número de vazamentos de dados pessoais. Como o que aconteceu com Equifax.

Mais algumas postagens do blog corporativo da 1cloud:

• Como os dados na nuvem são protegidos
• Por que a infraestrutura alugada é melhor que o hardware comum
• Suporte de treinamento para administradores: como a nuvem ajudará
• Quais recursos o .NET Core oferece aos desenvolvedores?