Quão importante é o gerenciamento de patches? [duplicado]

4

Problema

Estou tentando vender a ideia de gerenciamento organizacional de patch / atualização e gerenciamento de antivírus para meus superiores. Até agora, minha proposição foi recebida com duas respostas:

  1. Ainda não tivemos nenhum problema (adicionaria que conhecemos )
  2. Nós não achamos que isso seja um grande risco.

Pergunta

Existe algum recurso disponível que possa me ajudar a vender essa ideia?

Disseram-me que 55% a 85% de todos os problemas relacionados à segurança podem ser resolvidos com um gerenciamento adequado de antivírus e patch / atualização, mas o indivíduo que me disse não conseguiu comprovar a reivindicação. Pode ser comprovado?

Informações adicionais

1/5 dos nossos computadores (os do edifício) têm a atualização do Windows ativada por padrão e o antivírus está instalado. 4/5 dos nossos computadores estão fora da empresa e os usuários atualmente têm controle total sobre antivírus e atualizações do Windows (eu sei que isso é um problema, um passo de cada vez).

    
por James Hill 26.06.2013 / 19:55

3 respostas

6

Posso dizer que o Patch Management está no topo da lista de todos os Auditores de TI e que é verificado com bastante frequência. Não remendar seus sistemas os deixa vulneráveis para os olhos curiosos dos invasores. O patching deve ser feito, mas também deve ser testado antes de ser enviado para produção. Os únicos patches obrigatórios que você geralmente precisa fazer são os patches de segurança. Independentemente se o sistema é apenas acessível por LAN ou WAN (embora a WAN precise ser priorizada).

Agora você pode dizer "ei, qual é o risco? Não tivemos nenhum problema como esse antes!". Bem, em alguns países, se você tem uma violação que vazou informações pessoais e é mostrado que você não tomou medidas apropriadas para proteger seu ambiente (gerenciamento de patches é um deles), sua empresa pode ser responsabilizada legalmente pela violação. Na Europa a partir do próximo ano, a nova legislação de proteção de dados fará com que seus superiores responsáveis por criar políticas sobre como armazenar essas informações pessoais possam ser pessoalmente responsabilizado por isso.

    
por 26.06.2013 / 20:11
2

Na minha experiência, as ameaças de dia zero sempre encontrarão uma maneira de infectar um sistema se um usuário não tiver o cuidado de evitar clicar em banners ou arquivos zip anexados a e-mails de spam, etc.

Mesmo com firewalls corporativos, gerenciamento de patches e antivírus atualizados instalados - muitos malwares de dia zero cortam tudo isso como uma faca quente na manteiga. Normalmente, os que correm maior risco são menos usuários com conhecimento de informática que gostam muito de cliques.

No entanto, o gerenciamento de patches reduz a superfície de ataque para alguma extensão e, no que diz respeito a ramificações legais: tomar medidas para reduzir a superfície de ataque ajudará a proteger sua carreira e até mesmo você pessoalmente responsabilidade legal se você mora na Europa.

No que diz respeito aos benefícios práticos , não acho que você verá uma diferença notável em termos de infecções por vírus reduzidas se usar o gerenciamento de patches. Os maiores fatores são seus usuários e seus hábitos de navegação, combinados com antivírus atualizados, com (espero) uma taxa de detecção relativamente boa.

Em um ambiente corporativo no qual trabalhei US $ 10 mil por ano no gerenciamento de patches da Numara, infecções por vírus em sua rede de 200 computadores não eram incomuns (tivemos de 10 a 20 infecções graves por malware por ano).

Em outro local que eu tenho apoiado no meu tempo livre por 5 anos (apenas 25 estações de trabalho), eles não tiveram um único vírus por mais de 3 anos. Tudo o que fiz foi definir a atualização do Windows para instalar as atualizações diariamente e instalar o Adblock Plus em todos os navegadores da Web (o IE permite que o script seja usado no lugar do complemento). Ao impedir quase todos os banners (e outros anúncios, como os anúncios do Youtube), consegui reduzir drasticamente a superfície de ataque usada por muitos dos malwares de hoje, bem como melhorar a experiência de navegação dos usuários. Se você pode tirar os anúncios de banner da equação, você não fornece um malware que usa isso como um vetor para infectar os sistemas com uma chance de lutar.

Parece-me que há muito foco no gerenciamento de patches (algo que, por si só, raramente pode ser usado para interromper o malware) e os administradores de sistemas esquecem que existem outras maneiras altamente eficazes de reduzir a superfície de ataque. que não custa um centavo para implementar.

Está tudo bem fazendo algo que reduz suas chances de ser processado, mas também é necessário lembrar que ele também deve funcionar .

    
por 26.06.2013 / 20:34
1

Como você aparentemente tem atualizações automáticas ativadas em seu ambiente, as respostas estão quase corretas. Não haveria nenhum ganho na segurança, a menos que o processo de atualização automática seja quebrado ou você tenha pacotes que não são atualizados automaticamente, são um risco de segurança em potencial e seriam cobertos pela solução de gerenciamento de patches.

O "gerenciamento de patches" não é uma solução de segurança muito agora que quase todo pacote de software vem com um serviço de atualização automática. Trata-se mais de tempo de atividade e disponibilidade, pois ele suporta o fluxo de trabalho de QA relevante para o seu ambiente (por exemplo, publicar correções em um ambiente de laboratório primeiro, para um pequeno grupo de usuários "beta" e para todos). Se você não está preocupado com a perspectiva de um colapso devido a um mau sistema , < href="http://www.computerworld.com/s/article/9228374/Adobe_fixes_Flash_Player_for_Firefox_to_stop_crashes"> programa ou atualização de definição de vírus e não executar um software que não tenha nenhum processo de atualização automática, uma solução de gerenciamento de patches é provavelmente não é sua necessidade mais urgente.

Agora onde você tem um problema relacionado à segurança é o 4/5 dos seus dispositivos, onde os usuários têm "controle total" sobre a configuração da atualização automática. Não tanto porque eles têm a capacidade de desativar as atualizações automáticas - se os computadores estiverem em um domínio ou cobertos por um Solução NAP , você pode impor a reativação facilmente. Mas porque significa que os usuários provavelmente são administradores locais - o que ampliaria massivamente as superfícies de ataque e o possível impacto de um ataque. Você deve se concentrar em mudar isso.

    
por 26.06.2013 / 22:44