O que o software em fim de vida significa para o seu negócio
A tecnologia na era moderna se move rapidamente. Historicamente, novas tecnologias também surgiram rapidamente, mas a novidade na era da computação ocorre em questão de dias, às vezes até minutos. Você usa o mesmo computador ou celular que usava há cinco anos? E com que frequência você executa atualizações ou patches de software em seus dispositivos?
Quando você realmente começa a pensar sobre o ritmo da invenção na era da computação moderna, pode reconhecer que o hardware e o software podem estar em uso apenas por um período limitado de tempo. Devido a vários motivos, essas ferramentas atingirão o que é chamado de fim de vida útil (EOL), momento em que o suporte e a manutenção da ferramenta não serão mais mantidos. Quando o software chega ao fim de sua vida útil, você deve determinar se deseja atualizar para uma versão mais recente ou substituí-la por uma alternativa com suporte ativo.
Se você optar por não atualizar ou substituir seu produto no final de sua vida útil, seu software poderá parar de funcionar sem aviso prévio. Sem atualizações de manutenção, o produto pode introduzir novas vulnerabilidades, bugs e riscos de segurança em sua cadeia de suprimentos de software.
Todas essas possibilidades levam a uma conclusão: preste muita atenção às disposições de fim de vida útil do seu software e garanta um processo de manutenção ou migração. O software marcado com uma descoberta de fim de vida útil pode levar a vulnerabilidades de segurança em sua pilha técnica. Identifique riscos devido a descobertas de fim de vida útil e coordene atualizações junto com seus processos de gerenciamento de superfície de ataque e gerenciamento de risco de terceiros para limitar sua exposição ao risco devido ao software de fim de vida útil.
Como o software em fim de vida útil afeta seus negócios
Quando novas vulnerabilidades são identificadas em um produto afetado por uma suspensão de software em fim de vida útil, não haverá um patch disponível para corrigi-las. Essas vulnerabilidades permanecerão vulneráveis, e hackers e outros agentes mal-intencionados podem tentar explorar essas vulnerabilidades para obter acesso ao seu sistema para fins nefastos. Softwares desatualizados podem introduzir um backdoor em seu sistema, o que pode resultar em violações de dados como a exploração do WannaCry em sistemas Microsoft Windows. Você pode gerenciar alguma mitigação de riscos por meio de firewalls e suporte antivírus, mas eles oferecem proteção limitada para vulnerabilidades contínuas e bugs não corrigidos.
Confiar em software desatualizado não é apenas um problema para a segurança cibernética. Sua organização pode correr o risco de perda de dados ou bitrot durante a migração do sistema. Se o seu produto for construído com uma ferramenta desatualizada que poucas pessoas sabem usar, fica difícil iterar e inovar seu produto. Se esses indivíduos passarem para outros projetos, você poderá até perder o acesso às suas ferramentas. Pode até ser que ninguém esteja gerenciando as atualizações do sistema, portanto, migrar da versão EOL pode exigir mais trabalho do que migrar de uma versão mais recente. Seus custos operacionais de suporte técnico provavelmente aumentarão à medida que você tentar gerenciar o software após o ciclo de vida do suporte.
Quando o software atinge a data de fim da vida útil, ele pode se tornar incompatível com outro software que você usa ou pode significar que seu produto não pode atender a determinados regulamentos de conformidade, como PCI-DSS, HIPAA e GDPR. A incompatibilidade de software pode causar perda potencial de dados e as cargas de trabalho podem começar a sobrecarregar contra bugs não corrigidos.
A experiência de seus clientes também pode sofrer com softwares desatualizados. Sem manutenção para garantir que o software desatualizado continue funcionando no nível esperado, os aplicativos criados com esse software podem sofrer quedas de desempenho, perda de confiabilidade ou tempo de inatividade inesperado. Seu sistema não será corrigido com correções de bugs ou atualizações de segurança. Como os clientes de serviços em nuvem dependem de alto tempo de atividade e autoatendimento, é crucial manter seu sistema disponível para os usuários.
Experimente os recursos de gerenciamento de superfície de ataque do UpGuard com este tour autoguiado do produto >
Identificando seus riscos de software em fim de vida útil
É cada vez mais difícil acompanhar todas as atualizações de lançamento e datas de fim de vida útil do software, principalmente para serviços em nuvem criados com uma variedade de ferramentas de software. Embora você possa revisar as notas de versão e as informações de controle de versão de todos os softwares manualmente para identificar o ciclo de vida do produto, isso pode ser demorado e difícil de acompanhar. A avaliação manual só é possível com um inventário completo de ativos, o que também é difícil de manter se o software for adicionado apenas periodicamente ao inventário.
Você pode incorporar uma ferramenta de varredura em seu ecossistema de software para automatizar o processo, de modo que você não precise percorrer as informações manualmente para descobrir qual versão do software está em uso no momento. Por exemplo, o UpGuard BreachSight fornece uma verificação automatizada de seus ativos voltados para o público, o que pode ajudá-lo a identificar quando determinadas versões de software podem estar chegando ao fim de sua vida útil. As ferramentas de verificação ajudam a rastrear a data de descontinuação do fim da vida útil e a data do serviço de fim do suporte (EOS). A verificação da superfície de ataque externa resolve o problema de manutenção do estoque de ativos, pois a verificação automatizada pode identificar produtos que você talvez não soubesse que estavam em uso.
O governo dos Estados Unidos divulgou leis federais que regulam os padrões de segurança de dados, incluindo a FISMA. FISMA 44 § 3551 define Software Bill of Materials (SBOM) como "um registro formal contendo os detalhes e relacionamentos da cadeia de suprimentos de vários componentes usados na construção de software". As SBOMs foram definidas pelo governo dos EUA com a Ordem Executiva 140258, que estabelece os requisitos de categoria padrão para uma SBOM: campos de dados com informações do fornecedor, suporte de automação para formatos de dados específicos e processos operacionais. Você pode aprender sobre os detalhes do seu ecossistema de software ao revisar a SBOM para qualquer fornecedor de software incorporado à sua prática comercial. Alguns fornecedores de software também publicarão um aviso de fim de venda, após o qual esse software não estará mais disponível para compra (mesmo que permaneça em uso).
Depois de saber como identificar o software com um próximo ciclo de fim de vida, você pode planejar seu processo de mitigação de fim de vida, seja atualizando para uma versão mais recente, mudando para uma ferramenta diferente ou eliminando totalmente esse software.
Planejando suas atualizações de software em fim de vida útil
Para evitar expor sua cadeia de suprimentos de software a novas vulnerabilidades resultantes da suspensão de uso do fim da vida útil, você pode executar uma revisão regular da avaliação do fim da vida útil para identificar qual software atingiu recentemente o fim da vida útil ou o que pode estar por vir. A atualização do software EOL garante que o sistema e quaisquer dependências de software mantenham a funcionalidade.
Comece revisando seu inventário de ativos de TI ou criando um, se ainda não tiver um. Você pode incluir o número da versão do software e qualquer informação de licenciamento, como a data de expiração da licença, juntamente com os diferentes sistemas operacionais em uso para o seu sistema. Mantenha esse inventário atualizado para que você sempre saiba qual software está em uso em sua organização.
Com seu inventário de software instalado, você pode avaliar quando o software precisa ser atualizado, seja devido a patches de segurança, atualizações de compatibilidade ou aviso de fim de serviço. Execute uma avaliação regular de fim de vida útil para garantir que seu sistema esteja atualizado e que você remova os aplicativos que não são mais compatíveis. Como diferentes fornecedores de software mantêm vários ciclos e políticas de EOL, você precisa acompanhar a duração suportada para cada provedor e onde eles fornecem esses dados. Você pode usar um scanner de vulnerabilidades de software para identificar vulnerabilidades conhecidas, como lembretes de fim de vida útil do software. O UpGuard BreachSight fornece monitoramento contínuo de vulnerabilidades, incluindo aviso de software EOL.
Quando o software em fim de vida útil é identificado, você pode migrar para uma versão atualizada (se disponível) e desinstalar a versão em fim de vida útil. Alguns fornecedores de software oferecem suporte estendido por um breve período após a data de EOL, durante o qual o produto receberá atualizações de segurança por mais tempo do que a política de EOL típica. Se o software estiver sendo totalmente descontinuado, certifique-se de exportar seus dados para migração para uma nova ferramenta. A migração de software pode ser um projeto importante, por isso é fundamental detectar a próxima depreciação do EOL/EOS antes de quando o produto não será mais suportado. Para garantir que seu sistema esteja protegido, certifique-se de implementar o controle de acesso para atualizações e limitar o acesso privilegiado na rede apenas às ferramentas e indivíduos necessários.
Se novos riscos forem introduzidos devido a uma substituição de software em fim de vida útil, talvez seja necessário incorporar a correção de vulnerabilidades em sua avaliação de fim de vida útil para garantir que seu sistema esteja totalmente protegido contra agentes de ameaças.
Todas essas atividades podem fazer parte do seu processo de gerenciamento de riscos, seja no gerenciamento da superfície de ataque ou no gerenciamento de riscos de terceiros. Ao coordenar processos com sua equipe de compras (ou, se você for a equipe de compras), certifique-se de ter um processo confiável de gerenciamento de riscos do fornecedor. Se você ainda está considerando suas opções de TRPM e VRM, continue lendo para entender como o UpGuard pode ajudar em suas necessidades de mitigação de EOL de software.
Resolvendo descobertas de risco de fim de vida
Antes de coordenar as práticas recomendadas para o plano de segurança da sua organização, você precisa conhecer toda a extensão dos riscos externos enfrentados pela sua organização, mas identificar esses riscos manualmente pode ser demorado e trabalhoso. Você pode realizar uma análise de inventário de ativos em seus sistemas operacionais, pilha de software e dependências subsequentes. Use o inventário de ativos para identificar o software que não está mais em uso e que pode ser descontinuado, bem como qualquer software que precise de uma atualização.
A solução de erros e a mitigação de descobertas de risco serão mais rápidas se você não precisar procurar cada uma delas por conta própria. À medida que sua empresa cresce, torna-se mais difícil concluir o gerenciamento manual do ciclo de vida do software e as atualizações de fim de vida útil. Simplifique esse processo com um serviço automatizado que pode identificar as necessidades do gerenciamento do ciclo de vida do seu software.
Com monitoramento contínuo em uma plataforma, você pode usar os recursos de varredura do UpGuard e a detecção automatizada de riscos para identificar quais softwares podem criar novas exposições a riscos devido a um próximo ciclo de vida útil. O UpGuard coleta dados usando técnicas não intrusivas, identifica a gravidade de acordo com o Common Vulnerability Scoring System (CVSS) e fornece classificações de segurança com base nos dados coletados.
Você pode revisar proativamente seu perfil de risco e filtrar vulnerabilidades no UpGuard BreachSight para examinar sua exposição ao risco na plataforma. No UpGuard Vendor Risk, você pode visualizar as exposições de risco do fornecedor filtrando o Perfil de Risco do Portfólio. Você também pode interagir com a API do UpGuard para recuperar os riscos detectados para sua conta ou detectados para fornecedores de forma programática. Esses detalhes de risco podem ser acessados na plataforma e por meio da linha de comando, fornecendo informações adicionais para qualquer risco. Você pode usar níveis de gravidade para fazer a triagem de áreas para melhoria.
O UpGuard comunica o software em fim de vida com uma versão em fim de vida do software detectado, especificando qual tipo de software em cada risco individual. Os usuários atuais do UpGuard com o recurso BreachSight podem fazer login e acessar seu perfil de risco para pesquisar avisos de software em fim de vida útil entre seus ativos. Se você não for um usuário atual do UpGuard e quiser verificar seus ativos em busca de avisos de software em fim de vida útil, inscreva-se para uma avaliação.