• Artigo

Security WatchAcabei de receber um boletim de segurança. E Agora?

Christopher Budd

O processo mensal de divulgação de boletins de segurança da Microsoft, instituído em outubro de 2003, foi uma resposta às solicitações de clientes. Uma das principais solicitações foi a capacidade de previsão na programação de divulgação dos boletins de segurança. Conseguimos usar essa regularidade e capacidade de previsão para refinar e melhorar nossos processos.

O site do Microsoft Security Bulletin (em inglês) é o local no qual você pode encontrar o boletim de segurança mais recente e pesquisar os boletins anteriores, conforme mostrado na Figura 1. Um exemplo de boletim, neste caso de agosto de 2006, é mostrado na Figura 2.

Figura 1 Site Boletins de Segurança da Microsoft

Figura 1** Site Boletins de Segurança da Microsoft **(Clique na imagem para aumentar a exibição)

Para muitos clientes, o boletim de segurança mensal da Microsoft ajuda a criar processos mais desenvolvidos para implantar atualizações de segurança da Microsoft. Com boletins de segurança divulgados em uma data previsível, os clientes usaram esta oportunidade para criar seus próprios processos regulares a fim de manipulá-los. Esses clientes criaram cronogramas e etapas em seus próprios processos de implantação e avaliação de atualizações de segurança, que integram os cronogramas previsíveis em relação à divulgação do boletim de segurança mensal da Microsoft. Os clientes usam esse processo para analisar, testar e implantar atualizações de forma sistemática, que ajudam a melhorar o cenário global de segurança e a reduzir períodos de inatividade e interrupção.

Figura 2 Boletim de Segurança – agosto de 2006

Figura 2** Boletim de Segurança – agosto de 2006 **(Clique na imagem para aumentar a exibição)

No entanto, alguns clientes continuam com a implantação e avaliação da atualização de segurança sem um procedimento definido. Embora seja possível implantar as atualizações de modo não sistemático e não causar problemas, basicamente o contador é executado para a forma que consideramos ser a melhor prática para gerenciamento das atualizações de segurança.

Fornecemos informações úteis sobre como e quando divulgamos os boletins, mas não fornecemos orientação sobre o que você deve fazer com os boletins e como você pode integrá-los em seus processos. Alguns clientes talvez não saibam os processos que podem beneficiá-los ou a melhor forma de criá-los.

No entanto, nesta coluna destacarei as etapas e os processos recomendados para avaliação e implantação das atualizações de segurança. As organizações de qualquer porte podem seguir estas etapas. Para organizações maiores, convém dividir as etapas em diferentes grupos, com base na estrutura interna. Para as organizações menores, todas estas etapas podem ser executadas por um grupo, até mesmo por uma pessoa. Independentemente da alocação de responsabilidades, todas essas etapas devem ser consideradas explicitamente nos processos de avaliação e implantação. AFigura 3 fornece uma visão geral do processo.

Figura 3 Processo de implantação e avaliação do boletim de segurança

Figura 3** Processo de implantação e avaliação do boletim de segurança **

1. Recebimento de notificação Avançada

A primeira etapa do processo do boletim de segurança mensal deve garantir o recebimento da Notificação Avançada das próximas atualizações de segurança. A Microsoft publica as informações no site aproximadamente às 10h, hora do Pacífico (GST -8), três dias úteis antes da divulgação mensal padrão, que é a segunda terça-feira do mês; portanto, as informações de Notificação Avançada são publicadas na quinta-feira anterior.

A meta da Notificação Avançada é fornecer informações que ajudarão no planejamento da implantação antes da divulgação real. O nível de detalhes fornecido é balanceado em detrimento da necessidade de proteger os clientes até a divulgação das atualizações de segurança, mas sem revelar informações que possam facilitar os ataques. A Notificação Avançada agrega informações sobre as próximas atualizações por nome de produto, sem informações sobre versões específicas (por exemplo, Microsoft® Windows® ou Microsoft Office). Cada uma dessas entradas detalha quantos boletins do produto em questão serão divulgados, a gravidade máxima desses boletins, se as atualizações exigirão uma reinicialização e quais de nossas ferramentas de detecção serão aplicadas a esses boletins.

Para evitar surpresas e para minimizar possíveis problemas, a Notificação Avançada também fornece informações sobre outras atualizações não associadas aos boletins de segurança que serão divulgadas no mesmo dia. Ela detalha, principalmente, quantas Atualizações de Alta Prioridade Sem Segurança serão divulgadas através do MU (Microsoft Update) e do WU (Windows Update) e também quaisquer atualizações da Ferramenta de Remoção de Software Mal-Intencionado do Microsoft Windows.

Finalmente, forneceremos informações sobre quaisquer problemas que possam causar atrasos em sua implantação, como fizemos na alteração de permissão "Enviar como" no MS06-019.

Uma nova Notificação Avançada é publicada a cada mês. Nesse período, uma notificação é enviada através do SNSCE (Security Notification Service Comprehensive Edition). Você pode fazer o registro no SNSCE.

2. Avaliação do impacto potencial

Depois que você receber a Notificação Avançada, sua primeira etapa deve ser avaliar a importância das novas divulgações em seu ambiente. Embora a Notificação Avançada contenha detalhes limitados sobre os produtos afetados, ela apresenta informações suficientes para que você possa avaliar se os próximos boletins serão relevantes para seu ambiente.

Por exemplo, suponha que a Notificação Avançada mostre dois boletins do Microsoft Exchange que tenham uma classificação de gravidade mais alta como crítica, e que precise de uma reinicialização. Se você não executar esse programa, não saberá a maneira que esses boletins serão aplicáveis ao seu ambiente. Por outro lado, se você executar o Exchange Server 2003, saberá que na terça-feira terá até dois boletins classificados como críticos que precisam de reinicialização.

Para fins de planejamento, veja a Notificação Avançada como uma ferramenta que pode ajudá-lo a determinar o impacto máximo possível na sua organização, em termos de números de boletins, sua gravidade e seu impacto na implantação, em relação às reinicializações. Após avaliar a importância e o impacto máximo possível das atualizações, você pode criar uma programação que deve incluir os seguintes itens de ação:

  • Pessoal para avaliação de risco, teste e implantação
  • Planos de teste e horário do laboratório de teste
  • Planos de implantação e reinicializações programadas (quando apropriado)

Toda a programação neste ponto deve ser provisória, considerando que as informações da Notificação Avançada estão sujeitas a alteração. Além disso, em virtude da natureza limitada das informações da Notificação Avançada, você também pode fazer alterações, quando tiver os detalhes completos.

Finalmente, se houver qualquer informação adicional, como alterações de funcionalidade, você deve usar o tempo entre a Notificação Avançada e a divulgação real do boletim de segurança para pesquisar o problema e avaliar o possível impacto em seu ambiente. Pode ser necessário revisar sua programação provisória com base em sua pesquisa.

3. Recebimento de novos boletins de segurança da Microsoft

Na segunda terça-feira do mês a Microsoft divulga os boletins de segurança. Às 10h, hora do Pacífico, é a referência para divulgação, mas a divulgação é parte de um processo amplo, complexo e inter-relacionado que pode ser atrasado por vários motivos. Nesta divulgação, os boletins de segurança, atualizações de segurança, atualizações de ferramentas de detecção e implantação, como MBSA (Microsoft Baseline Security Analyzer) e WSUS (Windows Server® Update Services e novas ferramentas de detecção, como uma nova versão do EST (Enterprise Scan Tool) são todas publicadas nos sites da Microsoft.

A página do boletim de segurança da Microsoft é ativada para suportar alimentações de RSS. Quando os boletins de segurança incluem atualizações, nossa alimentação de RSS também é atualizada, o que por sua vez atualizará os agregadores e visualizadores de RSS. Além disso, uma notificação é enviada usando o SNS (Security Notification Service) e o SNSCE. As notificações são enviadas através de alertas de e-mail e MSN®.

Para saber a disponibilidade dos novos boletins de segurança, você deve fazer o registro em todos os mecanismos de notificação oferecidos. Você pode se inscrever em alimentação de RSS e em SNS e SNSCE.

4. Avaliação da relevância dos boletins de segurança

É importante que você atribua claramente a responsabilidade pela revisão dos novos boletins de segurança e pela avaliação da relevância em relação ao seu ambiente. Como parte dessa avaliação, você pode obter informações específicas completas dos boletins de segurança para fazer as revisões e os ajustes à sua programação provisória, conforme apropriado. Voltando ao exemplo, se você notificou a equipe de administração do Exchange de uma possível atualização de segurança crítica, mas detectou que o Exchange Server não foi afetado, você pode ajustar a programação desses recursos.

Após avaliar a relevância dos boletins de segurança de sua organização, você pode prosseguir com aqueles que são relevantes em seus processos.

5. Execução da avaliação de risco e dos boletins de classificação

Neste ponto, é necessário executar uma avaliação de risco dos boletins relevantes. Em organizações com responsabilidades divididas, esta etapa geralmente é executada pelo grupo de segurança. Embora cada boletim de segurança da Microsoft contenha uma classificação de gravidade máxima, essa classificação é refletida na gravidade mais alta de todas as vulnerabilidades, em todos os produtos afetados. A classificação de gravidade da Microsoft que se aplica à sua organização pode ser diferente da classificação de gravidade máxima listada, dependendo da gravidade do problema nas versões do seu ambiente. É importante observar a tabela completa de Classificações de Gravidade e Identificadores de Vulnerabilidade, na seção Resumo Executivo do boletim de segurança e obter as informações sobre vulnerabilidade de suas versões específicas.

Depois disso, você deve revisar as informações técnicas adicionais, como Minimização de Fatores e detalhes técnicos do FAQ de cada vulnerabilidade e fazer os ajustes em sua avaliação de riscos, com base no seu ambiente e nas suas diretivas. Suas diretivas também podem estabelecer se sua avaliação considera fatores ambientais, não técnicos como a ameaça ao ambiente ou a capacidade crítica de determinados aplicativos de sua organização.

No final deste processo, você deve ter uma classificação de risco para cada um dos boletins e as atualizações associadas a eles. Continuando com nosso exemplo, o grupo de administração do Exchange pode classificar uma atualização de segurança como "risco moderado", com base nas alterações detalhadas do boletim de segurança. Com base em suas diretivas, você deve fazer as atualizações e alterações em sua programação, conforme apropriado. Por exemplo, suas diretivas podem estabelecer que as atualizações de risco moderado exigem um ou mais dias de teste do que as atualizações de risco baixo.

Em alguns casos, suas diretivas podem estabelecer que para boletins com uma determinada classificação de risco, você precisa considerar a implementação de soluções alternativas. Por exemplo, a diretiva da sua organização pode estabelecer que para todas as atualizações de segurança classificadas como críticas, você deve revisar e implantar soluções alternativas, assim que possível. Neste caso, você executaria uma avaliação de risco adicional nas soluções alternativas, para determinar o que deve ser implementado e quando.

No final deste processo, você deve ter uma lista de atualizações a serem implantadas em seu ambiente, com classificações de risco associadas a cada uma delas. Além disso, deve ter uma lista de soluções alternativas a serem implementadas que deve ser usada para atualizar sua programação de teste e implantação. As alterações de sua programação devem refletir os prazos especificados pelas suas diretivas. Por exemplo, você pode ter uma diretiva que estabelece que para todas as atualizações de segurança críticas, as soluções alternativas devem ser implantadas dentro de 24 horas, e as atualizações implantadas dentro de sete dias.

6. Determinação do possível impacto das atualizações de segurança e/ou das soluções alternativas na organização

Compreender o impacto das atualizações de segurança ou das soluções alternativas em seu ambiente é uma etapa crítica no processo de avaliação. Em organizações com responsabilidades divididas, esta etapa geralmente é executada pelo grupo que gerencia o sistema afetado diretamente pelas atualizações de segurança ou pelas soluções alternativas.

Compreender o possível impacto ajuda a entender e determinar os riscos impostos pelas atualizações de segurança ou pelas soluções alternativas. As informações podem ser encontradas no boletim de segurança na seção "Perguntas freqüentes (FAQ) relacionadas a esta atualização de segurança". As informações sobre como a atualização de segurança conduz à vulnerabilidade estão localizadas em Perguntas freqüentes sobre vulnerabilidade em "Detalhes de vulnerabilidade."

O objetivo desta etapa é determinar uma classificação de risco para as atualizações e para as soluções alternativas. Continuando com o exemplo anterior, o grupo de administração do Exchange pode classificar uma atualização de segurança como "risco moderado" com base nas alterações detalhadas do boletim de segurança. Com base em suas diretivas, você deve revisar sua programação, conforme apropriado. Por exemplo, suas diretivas podem estabelecer que as atualizações de "risco moderado" exigem um ou mais dias de teste adicional do que as atualizações de "risco baixo".

Também será necessário verificar novamente as decisões sobre implantação de soluções alternativas, com base no impacto de sua classificação de risco em sua programação. Por exemplo, você pode detectar que será necessário estender o teste por dois dias e que isso deixará os sistemas desprotegidos por um tempo maior que o permitido pelas diretivas. Neste caso, será necessário verificar novamente a implantação das soluções alternativas, de acordo com suas diretivas.

Finalmente, você usará as informações desta etapa quando for desenvolver um plano de testes para as atualizações.

7. Definição de um plano de teste

Para um teste ser eficaz, ele deve ser sistemático e deve ser criado com um plano significativo. Seu teste deve visar as áreas que têm mais probabilidades de apresentar problemas em seu ambiente. Considerando que cada ambiente é diferente, não podemos oferecer um modelo padrão de um plano de teste eficaz.

Para organizações com responsabilidades divididas, o plano de teste geralmente será projetado por mais de um grupo. O grupo que gerencia a tecnologia ou os sistemas diretamente afetados pelas atualizações de segurança ou pelas soluções alternativas pode fornecer seu conhecimento. O grupo de teste pode oferecer o conhecimento em relação à criação de casos de teste, opções de ferramentas de teste e uma compreensão dos cronogramas práticos.

Durante esta fase, você deve observar como o plano de teste afeta a classificação de risco das atualizações de segurança ou as soluções alternativas, e fazer as alterações em sua programação de teste e implantação adequadamente. Por exemplo, se você determinar que não pode desenvolver um plano de teste para testar uma atualização de forma tão completa como desejaria, você pode aumentar sua classificação de risco, optar por atrasar a implantação e implementar soluções alternativas nesse meio tempo.

8. Desenvolvimento de um plano de implantação

A implantação é o processo que realmente implementa a proteção fornecida pelas atualizações de segurança ou pelas soluções alternativas. Como a implantação realmente é a parte final do processo, a compreensão dos métodos de implantação disponíveis e decomposição deles em suas avaliações é tão importante como uma avaliação dos riscos de segurança. Em organizações com responsabilidades divididas, a determinação de possíveis métodos de implantação de atualizações de segurança, geralmente é executada pelos grupos que são responsáveis pelo gerenciamento da infra-estrutura de atualização de software, como o grupo que mantém o SMS (Systems Management Server). Os grupos que tem supervisão das tecnologias de gerenciamento da configuração, como o Active Directory, podem estar envolvidos na determinação de possíveis métodos de implantação de soluções alternativas.

Nesta etapa, seu objetivo é entender os possíveis métodos de implantação e criar a partir deles um plano que será utilizado para implantar as atualizações de segurança e as soluções alternativas. Nesta etapa, é importante compreender como os possíveis métodos de implantação podem afetar sua programação e fazer as alterações necessárias. Por exemplo, se uma atualização de segurança não é suportada por WSUS e esse é seu método de implantação principal, você deve determinar que, em virtude disso, precisará de mais dois dias para implantar a atualização originalmente planejada. Você pode, por sua vez, optar por implementar soluções alternativas que forneçam as proteções necessárias durante essa fase de implantação.

As informações referentes aos métodos de implantação estão no boletim de segurança, na seção "Perguntas freqüentes (FAQ) relacionadas a esta atualização de segurança". As informações sobre as maneiras de implementar as soluções alternativas são listadas com cada solução alternativa; as soluções individuais são associadas a cada vulnerabilidade.

Assim são concluídas as fases de planejamento. Neste ponto, você deve ter uma programação que reflete todos os elementos de suas avaliações e planejamento referente ao risco de segurança, à classificação de risco das atualizações de segurança e as soluções alternativas, de teste e de implantação. Como você viu, todas essas fases são inter-relacionadas de forma complexa e não são necessariamente lineares. Em algumas organizações, essas fases ocorrem simultaneamente, enquanto em outras elas são seqüenciais. Você deve optar em relação à implementação dessas etapas, com base nas diretivas, necessidades e recursos de sua organização. O mais importante nessas etapas não é a infra-estrutura específica e a ordem, mas garantir que as etapas diferentes sejam capazes de informar e responder uma a outra. A chave de qualquer implementação é permanecer flexível e adaptável.

9. Teste de atualizações e soluções alternativas

Na fase de teste, você colocará as atualizações de segurança e soluções alternativas no plano de teste definido anteriormente no seu ambiente de teste. O objetivo do ambiente de teste é replicar os elementos críticos no ambiente de produção. No teste das atualizações de segurança ou soluções alternativas, você está tentando localizar os problemas que podem ocorrer antes de implantá-los no ambiente de produção.

Como os problemas são identificados na fase de teste, você deve determinar sua gravidade e as etapas necessárias para resolvê-los. Você pode descobrir problemas menores que tenham um nível aceitável de impacto, e outros que precisarão de resolução antes da implantação das atualizações. Se você optar por aceitar o problema, notifique a equipe de suporte.

Para resolver o problema, envie uma ocorrência ao PSS (Microsoft Product Support Services), que oferece suporte gratuito para problemas relacionados às atualizações de segurança. Para obter informações sobre como contatar o PSS, acesse support.microsoft.com/security. Como a resolução de problemas pode aumentar o período de teste, e conseqüentemente, atrasar a implantação, antes de optar por resolver um problema, você deve considerar o impacto potencial em sua programação.

Quando o teste for concluído, com todos os problemas resolvidos ou documentados, você pode certificar as atualizações de segurança ou soluções alternativas para implantação em seu ambiente de produção.

10. Implantação de atualizações e soluções alternativas

Depois que as atualizações de segurança ou soluções alternativas forem certificadas por teste, você poderá continuar com o processo de implantação. Durante a implantação, use o plano para orientá-lo, conforme aplica as atualizações de segurança ou alterações de configuração aos sistemas. Os grupos que estavam envolvidos no desenvolvimento do plano geralmente são responsáveis pelas implantações reais.

Se você detectar problemas na implantação, por exemplo, se ocorrer uma falha durante a instalação de uma atualização de segurança através da atualização de sua infra-estrutura de gerenciamento, será necessário examinar o problema cuidadosamente. Se o problema provocar atrasos, verifique novamente as opções e/ou considere soluções alternativas para proteger seu sistema.

De preferência, seu processo de teste deve identificar todos os problemas que podem ocorrer na produção antes da implantação. No entanto, se você detectar problemas após a implantação em seu ambiente de produção, é necessário seguir as mesmas etapas que seguiria, se encontrasse o problema no ambiente de teste. Avalie o problema e decida se deve aceitá-lo ou resolvê-lo.

Se as atualizações de segurança foram aplicadas com sucesso, as proteções estão corretas e a meta final desses processos foi atendida. Caso contrário, seu sistema ainda estará vulnerável.

Como alguns sistemas talvez não tenham sido atualizados com sucesso, a etapa final do processo de implantação é muito importante: auditar os sistemas para verificar o sucesso da implantação. Em algumas organizações, a auditoria será executada por um grupo de auditoria separado, freqüentemente relacionado com as equipes de segurança. As ferramentas da Microsoft como: WSUS, MBSA e SMS podem ser usadas para auditar a aplicação com sucesso das atualizações de segurança. Além disso, há informações no boletim de segurança, na seção Informações sobre Atualização de Segurança, referentes à aplicação bem-sucedida da atualização de segurança.

Conclusão

Com a divulgação mensal do boletim de segurança da Microsoft, é possível implementar de forma mais regular o planejamento e os processos de gerenciamento das atualizações de segurança. A criação de processos e procedimentos regulares o auxilia a proteger melhor seus sistemas e ao mesmo tempo minimiza possíveis interrupções e períodos de inatividade.

Considerando que toda a organização deve criar seus próprios processos exclusivos de gerenciamento das atualizações de segurança, os processos de sua organização devem incluir as etapas recomendadas nesta coluna. Você não precisa ter equipes de atualização e de segurança distintas, mas deve executar uma avaliação do risco de segurança e desenvolver um plano de implantação.

O conceito-chave aqui é a importância do planejamento. Com um bom planejamento, as etapas que envolvem a atividade real, como as fases de teste e implantação, fluirão de forma tranqüila, e por sua vez, resultarão em um processo de atualização de segurança bem-sucedido.

Christopher Budd é gerente do programa de segurança do MSRC (Microsoft Security Response Center). Ele é especialista em comunicação técnica com o TI, com profissionais de segurança e com outros usuários de software.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..