INTRODUÇÃO


A Política de Gerenciamento de Patches é o processo que identifica e instala continuamente atualizações de software para aplicativos, sistemas operacionais, dispositivos de rede, firmware e quaisquer outros recursos de TI aplicáveis utilizado pelo Grupo B2 Mídia.


OBJETIVO


A Política de Gerenciamento de Patches tem como objetivo monitorar quais patches foram aplicados anteriormente, instalar novos, bem como verificar se os patches foram instalados corretamente e se entregaram com êxito a correção prometida, garantindo segurança, continuidade, proteção e conformidade.


  • Segurança aprimorada: alguns patches fornecem correções importantes para problemas de segurança. Se não forem aplicados rotineiramente, aumenta o risco de ataques ligados a vulnerabilidades conhecidas.
  • Continuidade de negócios: os patches podem fornecer atualizações que corrigem problemas de confiabilidade ou desempenho que, se deixados sem solução, podem causar erros e interromper as operações de negócios.
  • Proteção proativa: o gerenciamento de patches ajuda a aplicar patches proativamente.
  • Cumprindo as regras de conformidade: Mantem os softwares atualizados garantindo conformidade com organizações que tem como requisito de segurança que os softwares sejam atualizado.


DIRETRIZES DE GERENCIAMENTO DE PATCHES


Gestão de ativos

  • Identificação dos recursos de TI existentes no Grupo B2 Mídia


Auditoria e Análise

  • Avaliações periódicas e varreduras contínuas nos ativos de TI para avaliar quais vulnerabilidades de segurança ou outros problemas podem impactar o ambiente devido a atualizações insuficientes.


Classificação de Gravidade

  • Caso um patch não possa ser atualizado imediatamente. A classificação de gravidade determina um tempo máximo para atualização.


Classificação de gravidade

 Implementação em (Dias)
Impacto crítico
15
Impacto importante
15
Impacto moderado
20
Baixo impacto 
30


  • Impacto crítico
    • Essa classificação é dada a falhas que podem ser facilmente exploradas por um invasor remoto não autenticado e levar ao comprometimento do sistema (execução de código arbitrário) sem exigir interação do usuário. Falhas que requerem autenticação, acesso local ou físico a um sistema ou uma configuração improvável não são classificado como Impacto Crítico. Esses são os tipos de vulnerabilidades que podem ser exploradas por worms;
    • Uma vulnerabilidade cuja exploração poderia permitir a execução de código sem interação do usuário. Esses cenários incluem malwares com autopropagação (por exemplo, worms de rede) ou cenários de uso comum e inevitáveis, em que a execução do código ocorre sem avisos ou prompts. Isso poderia significar navegar para uma página da Web ou abrir um e-mail;
    • É recomendável que se apliquem as atualizações Críticas imediatamente.
  • Impacto importante
    • Esta classificação é dada a falhas que podem facilmente comprometer a confidencialidade, integridade ou disponibilidade de Recursos. Esses são os tipos de vulnerabilidades que permitem que usuários locais ou autenticados ganhem privilégios adicionais, permitem que usuários remotos não autenticados visualizem recursos que, de outra forma, deveriam ser protegidos por autenticação ou outros controles, permitem que usuários remotos autenticados executem código ou permitir que usuários remotos causem uma negação de serviço;
    • Uma vulnerabilidade cuja exploração poderia comprometer a confidencialidade, a integridade ou a disponibilidade dos dados do usuário ou a integridade ou disponibilidade de recursos de processamento. Estão incluídos cenários de uso comuns em que o cliente é comprometido com avisos ou prompts, independentemente da proveniência, qualidade ou usabilidade do prompt. As sequências de ações do usuário que não geram prompts ou avisos também estão cobertas;
    • É recomendável que se apliquem as atualizações Importantes assim que possível.
  • Impacto moderado
    • Essa classificação é dada a falhas que podem ser mais difíceis de explorar, mas ainda podem levar a alguns comprometimento da confidencialidade, integridade ou disponibilidade de recursos em determinadas circunstâncias;
    • Esses são os tipos de vulnerabilidades que poderiam ter um impacto Crítico ou Importante, mas são menos facilmente explorado com base em uma avaliação técnica da falha e/ou afetar configurações improváveis.
    • O impacto da vulnerabilidade é mitigado a um grau significativo por fatores como requisitos de autenticação ou aplicabilidade somente a configurações não padrão;
    • É recomendável que se apliquem as atualizações de segurança.
  • Baixo impacto
    • Essa classificação é atribuída a todos os outros problemas que podem ter um impacto na segurança. Esses são os tipos de vulnerabilidades que se acredita exigirem circunstâncias improváveis para serem exploradas, ou onde um exploração bem sucedida traria consequências mínimas. Isso inclui falhas que estão presentes em um código-fonte do programa, mas para o qual nenhuma exploração atual ou teoricamente possível, mas não comprovada vetores existem ou foram encontrados durante a análise técnica da falha;
    • O impacto da vulnerabilidade é mitigado de forma abrangente pelas características do componente afetado. É recomendável que se apliquem as atualizações.


Priorização e agendamento

  • Com o conhecimento obtido da classificação de gravidade, deve se determinar quais patches priorizar e, em seguida, fazer um cronograma para aplicá-los.


Instalação de patch

  • Os patches devem ser atualizados de forma manual ou automática.
  • Sempre que a implementação não seja possível nos prazos acima descritos, deverão ser tomadas medidas apropriadas e temporárias que mitiguem os riscos expostos pelas respectivas vulnerabilidades.


Teste e Verificação

  • Todos os patches deverão ser testados em máquinas de teste antes de serem aplicados em sistemas de produção;

  • Após a instalação dos patches, deve ser feita analise cada sistema e verificar os arquivos de log de instalação para confirmar se a instalação foi bem-sucedida.



Rastreamento e monitoramento

  • Deve-se controlar quais patches foram instalados e em quais sistemas;
  • Em caso de uma violação de segurança, deve ser possível verificar se ocorreu antes ou depois da atualização.



Aplicação em nossos equipamentos



Nossos dispositivos são periodicamente verificados de forma automática:

Sistema Operacional e demais softwares.

  • Verificação diária de disponibilidade de atualizações do sistema operacional.

  • Busca automática por atualizações tempestivas dos softwares instalados, gerenciado pelo antivírus.

  • Atualização diária de forma automática do software antivírus.