Grande parte do risco gerenciado nas empresas é feito por produtos não relacionados à segurança.
Duas das melhores maneiras de gerenciar riscos e tornar sua empresa mais segura são usando o patch e o backup. O ransomware ensinou o valor dos backups e o patch é o resultado de uma necessidade de função do produto ou segurança.
Os patches, assim como os backups, são feitos por equipes que não são da segurança e caem no domínio do Gerenciamento de Sistemas de TI (IT Systems Management ou ITSM, em inglês).
A aplicação de patches exemplificou as duas forças em jogo na cibersegurança: função versus segurança. A Função sempre foi a força “sólida”, para usar uma analogia física. Sem a empresa, não há o que ser protegido.
A cibersegurança se adaptou e está mais preparada para lidar com essa realidade, passando a trabalhar com as empresas funcionem, mas de forma segura. É o núcleo da segurança DevOps que deve reconhecer que a segurança precisa ser incorporada ao negócio e não apenas anexada a ele.
Quando se fala de patching, existe um extenso abismo entre a gravidade da segurança e as necessidades do negócio. De um lado, a urgência de implementar segurança e corrigir imediatamente a fim de eliminar as vulnerabilidades; de outro, a necessidade da empresa de corrigir de modo que seja o menos prejudicial para os negócios.
Não é apenas a tarefa de aplicar o patch, mas garantir que ele não destrua nada, é uma preocupação mais importante. Esse ato de equilíbrio tem sido gerenciado pelas equipes de operações usando produtos ITSM.
Chega de filosofar. Você pode ter sido aconselhado a “desconectar” seu produto de ITSM no mês passado. Este é um evento incomum, pois a maioria das vulnerabilidades é tratada colocando-se em prática um escudo de pré-patch (assinaturas IPS) que ganha tempo até que o patch esteja disponível e possa ser testado e instalado com o mínimo de interrupção nos negócios.
Ser aconselhado a desconectar um produto é altamente incomum e indica que operar o produto traz consigo um risco muito alto. Mas depois que você desconecta, há um risco menor, embora não insignificante, associado a não ter um ITSM.
O conselho da SolarWinds de 13 de dezembro inclui desconectar, tomar medidas de segurança para examinar o comprometimento, reconstruir os hosts e, em seguida, colocar o ITSM em bom estado online. Isso provavelmente não acontecerá rápido.
Não estamos sugerindo que as empresas ignorem a recomendação de desconectar, mas que os riscos associados a essa ação sejam conhecidos e tratados:
- O maior problema é, ironicamente, o patching. Seu ITSM pode ser sua solução de gerenciamento de patches. Identifique se há algum patch crítico não relacionado ao seu produto de ITSM que precisa ser implantado e decida se isso deve continuar. No mínimo, certifique-se de que as assinaturas IPS para esses produtos vulneráveis estejam in-line.
- O monitoramento do desempenho do sistema e da rede provavelmente não estará disponível. Se o seu SOC tiver quaisquer visualizações de ITSM para caça a ameaças, eles terão que procurar outras fontes (alternar o monitoramento viabilizado pelo fornecedor) ou usar visualizações de monitoramento indiretas ou menos preferenciais.
- Nem todas as interrupções serão relacionadas ao desempenho. Resista à suposição de que as alterações de desempenho são causadas por uma interrupção funcional devido à remoção do ITSM. Pode ser um ataque ou malware que aproveita a oportunidade para se infiltrar no ambiente enquanto o ITSM não está presente.
Pensar nesses itens pode mitigar alguns riscos adicionais enquanto o ITSM está desconectado e enquanto esperamos por mais informações sobre esse incidente para armar os caçadores de ameaças nas organizações das vítimas. As próximas etapas serão muito mais difíceis, pois as empresas removem todos os rastros desses invasores de suas redes.
Nesse ínterim, o melhor conselho geral é para os “inimigos” da segurança e das operações conversarem mais durante este período. Deixe de procurar culpados e mantenha a infraestrutura de TI ativa e segura quando o ITSM, aquele painel do carro da TI, não estiver funcionando por um tempo.
Para obter mais informações sobre todas as maneiras pelas quais a Trend Micro está apoiando e protegendo os clientes afetados pela situação da SolarWinds, visite: https://success.trendmicro.com/solution/000283368.