Entre os sistemas de TI que os cibercriminosos atacam e comprometem com sucesso, a maioria está executando software contendo vulnerabilidades exploráveis. Enquanto existe uma infinidade de ferramentas e tecnologias defensivas para ajudar a detectar e parar ataques cibernéticos, nenhuma delas resolve a fraqueza subjacente do código vulnerável que coloca dispositivos e sistemas em risco contínuo.

O problema só está piorando. Em 2021, o Banco Nacional de Vulnerabilidades adicionou quase 22 mil novas vulnerabilidades – outro ano recorde. Isso torna a gestão de patches uma parte cada vez mais importante de qualquer estratégia de segurança, porém é mais fácil falar do que fazer.

De acordo com o Relatório de Estatísticas de Vulnerabilidades 2021 da Edgescan, o tempo médio da organização para remediar uma vulnerabilidade uma vez identificada – conhecida como lacuna de atualização de segurança – é de 60,3 dias. Isso dá a um invasor 60 dias para encontrar e explorar sistemas que hospedam essa vulnerabilidade. Infelizmente, muitas organizações não terão tanto tempo para remediar; uma vez que uma vulnerabilidade de segurança em um serviço voltado para a Internet é tornada pública.

O código malicioso é corrigido geralmente dentro de 48 horas e infelizmente, muitas dessas vulnerabilidades jamais são corrigidas. Na violação do Equifax, por exemplo, os hackers entraram através de um bug conhecido e não reparado. Muitas das variantes de malware e ransomware de hoje se aproveitam dos CVEs que já existem há cinco anos ou mais.

Por que o gerenciamento de patches é tão difícil?  

Existem várias razões pelas quais as vulnerabilidades são corrigidas tão lentamente. Primeiro, os usuários têm que esperar um fornecedor analisar e corrigir uma falha e, em seguida, distribuir uma versão corrigida de seu software. Embora atualizações automáticas e de software semiautomáticas de empresas como Microsoft, Apple, Adobe e Google ajudam imensamente ao manter muitos programas de softwares comuns atualizados, eles muitas vezes exigem reinicializações do sistema, o que pode não ser conveniente ou mesmo viável para algumas empresas.

Além disso, as empresas também têm que testar rigorosamente as atualizações antes de poderem lançá-las para sistemas de produção, um processo complexo e complicado que pode levar semanas ou meses.

Outra grande razão pela qual os patches nunca são aplicados é que indivíduos e empresas priorizam a produtividade em vez da segurança. Os usuários geralmente resistem a fechar programas em execução para reiniciar e aplicar atualizações de software, seja porque não querem ou não podem.

No relatório “O Estado de Segurança 2022” da Splunk, 44% das organizações entrevistadas disseram ter sofrido interrupção dos processos de negócios devido a violações, e 44% perderam dados confidenciais. Ambos os números subiram acentuadamente em comparação ao ano anterior.

O custo e a interrupção de uma falha de segurança certamente supera o gasto da instalação de patches de segurança. No entanto, a maioria dos usuários de TI continua a colocar a produtividade à frente, dando aos criminosos virtuais uma clara vantagem e destacando a necessidade de uma abordagem diferente.

O que é micropatching?  

Uma maneira possível de diminuir o tempo para corrigir é o micropatching, no qual usa um pequeno pedaço de código para corrigir uma única vulnerabilidade, sem exigir uma reinicialização do sistema. Semelhante a uma atualização do Hotfix ou do Microsoft Quick Fix Engineering, um micropatch é aplicado a um sistema quente ou ao vivo, sem a necessidade de qualquer tempo de inatividade ou paralisações.

No entanto, enquanto uma atualização tradicional do hotfix normalmente resolve uma variedade de problemas e pode até adicionar novos recursos, um micropatch corrige apenas um problema usando o menor número possível de linhas de código, com o objetivo de minimizar efeitos colaterais que poderiam afetar a funcionalidade da linha de base. Além disso, atualmente, os micropatches estão disponíveis principalmente em provedores de terceiros, ao invés de fornecedores de software originais.

Os principais benefícios da micropatch incluem o seguinte:

• Velocidade: Um micropatch pode ser implantado em horas ao invés de semanas, pois leva muito menos tempo para testar se o patch interferirá com a funcionalidade da linha de base.

• Simplicidade: O fato de que micropatches podem ser rapidamente aplicados e removidos localmente ou remotamente também simplifica os testes de produção.

• Uptime: A micropatching não requer tempo de inatividade porque não substitui ou modifica arquivos executáveis e em execução. Por outro lado, a correção é aplicada na memória, o que pode ser feito sem ter que reiniciar o software, permitindo que usuários e sistemas continuem trabalhando sem serem inabilitados.

No geral, a velocidade, facilidade e rigidez do micropatching podem ajudar a reduzir a lacuna de atualização de segurança. Isso, por sua vez, torna mais difícil para os hackers usar vetores de ataque populares, como estouros de buffer e injeção dinâmica de biblioteca de links. Ou seja, é a melhor solução para quem prefere gerir os prováveis riscos do que sentir os seus efeitos no futuro.