Para alguns profissionais de segurança, o gerenciamento das atualizações pode se resumir ao slogan da Nike: Just Do It. Mas, como qualquer pessoa que já administrou uma rede sabe, gerenciar atualizações e correções não é tão simples assim. Isso não significa que não haja muitos casos em que correções de vulnerabilidades críticas poderiam ser facilmente aplicadas – e não são; mas também há razões válidas pelas quais um sistema ou software não pode ser corrigido ou atualizado, como os sistemas de produção, que nunca podem ser desligados (em ambientes como o da saúde, por exemplo). Há também o caso de sistemas legados com dependências que se rompem se uma atualização for aplicada. Além disso, há casos em que a atualização em si introduz vulnerabilidades adicionais, exigindo que a equipe de TI reverta o nível da correção. Devemos lembrar também que muitas violações de dados significativas podem ser atribuídas a uma correção que deixou de ser feita. Equifax, WannaCry, o National Health Service do Reino Unido – em todos esses casos, a causa raiz foi que a atualização não foi aplicada ao sistema.

Quando a empresa não corrige vulnerabilidades conhecidas, ela está correndo riscos, seja de forma consciente ou tácita. Isso não significa que só porque o risco existe ele tem que ser mitigado a todo custo¹, mas sim que os responsáveis devem conhecer ou prever e comunicar os riscos associados à sua ação ou inação. No caso de riscos de segurança introduzidos devido a decisões sobre o gerenciamento de atualizações, a empresa deve estar ciente de que as vulnerabilidades do sistema "X" podem fazer com que "Y" seja acessado remotamente por alguém não autorizado, dados sejam perdidos, ocorra negação de serviço, introdução de malware etc. Portanto, antes que isso aconteça, as equipes de TI e segurança precisam de uma forma melhor para lidar com o gerenciamento de atualizações e correções. O fato é que há vulnerabilidades demais, já relatadas e publicadas, para que a empresa possa "just do it"; além disso, um método de gerenciamento de atualizações ad hoc ou caso a caso certamente resultará na falta de correções críticas, em atualizações aplicadas incorretamente, na aceitação involuntária de riscos desconhecidos/imprevistos/não intencionais ou outras consequências ainda piores.

As empresas precisam de uma abordagem melhor. Como disse Dave Lewis, Advisory CISO da Duo Security: "as empresas precisam aprender a fazer atualizações de uma forma melhor, mais inteligente, e a aprimorar sua qualidade e facilidade de aplicação". Explicar exatamente como se deve administrar todo um programa de gerenciamento de atualizações/correções é algo que está fora do alcance deste artigo, mas uma coisa que sem dúvida pode ajudar as equipes de TI e segurança a aplicar uma estratégia de gerenciamento de correções é a implementação de uma rede zero trust.

Os desafios enfrentados pelas redes de hoje

As redes corporativas já não são mais as arquiteturas locais planas e administradas internamente que existiam no passado. A introdução de ambientes virtuais e de nuvem, dispositivos individuais (BYOD), redes distribuídas e muito mais, mudou fundamentalmente os métodos de trabalho das equipes de TI e segurança. Como o gerenciamento de atualizações e outras iniciativas de cibersegurança podem afetar a disponibilidade e a confiabilidade das redes dinâmicas e autoescalonáveis de hoje, as equipes de TI devem encontrar uma forma melhor de enfrentar o problema.

Todos os que trabalham na área de segurança sabem que o consenso geral é que "não se deve colocar todos os ovos na mesma cesta"! Entretanto, a segmentação da rede pode ser um processo difícil, demorado e caro. O resultado é que, assim como no caso do gerenciamento de atualizações, a segmentação (e, mais recentemente, a "microssegmentação") foi posta de lado em favor de tarefas mais fáceis de realizar. Na verdade, ao utilizar processos e tecnologias históricas ou herdadas, a segmentação/microssegmentação pode fazer com que até mesmo os mais experientes profissionais de rede acabem arrancando os cabelos em total desespero. Mas a segmentação pode ser uma maneira eficaz de administrar melhor os sistemas críticos da empresa, junto com todas as atualizações necessárias para eles.

Entra em cena a zero trust

A zero trust virou de cabeça para baixo os tradicionais conceitos de rede. Ao invés do método "confiar mas verificar", usado para gerenciar o acesso e a presença na rede corporativa, a zero trust diz que todo o tráfego, usuários, aplicativos, hosts etc. devem ser verificados por um conjunto de atributos imutáveis que criam uma "impressão digital" antes de permitir a comunicação. Além disso, quando um aplicativo/processo/usuário/etc. é verificado, a confiança concedida aplica-se somente àquela conexão; toda vez que uma comunicação é iniciada em uma rede zero trust, quem ou aquilo que está tentando se conectar deve ser verificado novamente para garantir que o autor de uma ameaça não tenha interceptado a comunicação, não esteja se escondendo por trás de controles aprovados, ou não tenha disseminado malware no sistema.

Mas o que isso tem a ver com o gerenciamento de atualizações? Em uma rede zero trust, todos os sistemas – servidores, aplicativos, bancos de dados, hosts etc. – são executados com base no princípio do acesso de menor privilégio. Somente os sistemas, aplicativos etc. que requerem acesso a outro sistema/aplicativo etc. são configurados automaticamente para enviar e receber comunicação de outras conexões de rede. Ao contrário, em uma rede tradicional, até 98% da rede consiste em vias de comunicação não utilizadas e não gerenciadas. Isso significa que tanto os aplicativos/serviços legítimos quanto o tráfego malicioso podem se comunicar utilizando esses caminhos. Mas a zero trust bloqueia tudo aquilo que não é utilizado ou que é desnecessário, reduzindo assim a lista do que/de quem pode se comunicar. Como resultado, a probabilidade de um invasor acabar comprometendo um sistema não atualizado também é reduzida, porque menos recursos estão se comunicando com ele.

Além disso, as impressões digitais criadas para a rede zero trust incluem nomes de produtos, dispositivos, versões e níveis de atualização; isso significa que os administradores do sistema podem ser alertados sobre qualquer problema de gerenciamento de correções e tomar a melhor decisão para a empresa. Por exemplo, as equipes de segurança poderiam implementar uma política que diz: "Se o Apache versão 2.3 em execução não for 2.3.35 ou 2.5.17, emitir um alerta sempre que houver uma conexão". Com essas informações em mãos, a equipe de segurança pode tomar a decisão de segmentar o aplicativo até que ele seja atualizado (o que provavelmente só aconteceria em casos extremos) ou assumir o risco de não aplicar a correção e ter de explicar o motivo para a empresa.²

Obviamente, as ferramentas de gerenciamento de atualização podem ajudar as empresas a ficar por dentro do que está acontecendo em todo o seu diversificado ecossistema de redes, mas essas ferramentas não podem impedir que o software se comunique se um malware penetrar no sistema antes que a atualização seja aplicada – ou mesmo desenvolvida. Ao isolar e conter ativos críticos em uma rede zero trust, a empresa consegue identificar uma vulnerabilidade não corrigida antes que ela seja explorada. Além disso, o gerenciamento de atualizações só pode ajudar se a correção existir! Para ataques de dia zero e outras situações que não podem ser corrigidas com uma atualização, como as mencionadas no começo deste post, as empresas têm que "projetar sistemas como se houvesse sempre um dia zero e a atualização não existisse", escreve Adrian Sanabria, fundador do Security Weekly Labs, em um artigo sobre a exploração do Apache Struts. A rede zero trust fortalece o sistema independentemente dos níveis de atualização, e oferece às empresas uma maneira mais inteligente de manter o controle de suas correções – o que pode evitar que ela acabe se transformando na próxima Equifax. Com a zero trust, é possível ter o controle refinado de um ambiente de rede distribuída que as equipes de segurança sempre desejaram, permitindo que as empresas trabalhem sem a introdução de riscos desnecessários ou não gerenciados.