Como prever o impacto dos patches da Microsoft

Por Andrew Storms

Todo mês, como um relógio, a Microsoft lança boletins de segurança e todos os meses as pessoas me perguntam se a coisa é grande ou pequena. Embora os detalhes exatos dos remendos são geralmente tratados como notícia, o volume de trabalho esperado de cada mês realmente não deveria ser um jogo de adivinhação, porque a liberação de patches da Microsoft  é previsivelmente cíclica.

Eu não tenho nenhum conhecimento especial interno, e eu não posso falar pela Microsoft, mas quando eu olho para a informação pública disponível é bastante claro para mim como funciona o ciclo.

Ciclo QA de 60 dias

Um ciclo QA (aviso-resposta) de 30 a 60 dias da Microsoft é típico, e é realmente muito fácil dizer quantos dias um patch estava em QA. Se você está curioso, baixe o patch manualmente e dê uma olhada na data em que o arquivo foi assinado digitalmente. Isto não é absolutamente uma data exata, pois um patch pode entrar e sair do processo de QA várias vezes, mas é uma aproximação razoável. .

Usando este método calculei as datas média de patches de dezembro de 2009 em 54 dias, os de novembro de 2009 em 36 dias, e os de outubro de 2009 em 45 dias. Não é difícil usar esses números para determinar um ciclo médio de 60 dias.

Meses de montanha russa

As equipes de segurança encarregado de adquirir, testar e instalar de patches pode sentir-se em uma montanha russa com os patches da Microsoft. Só nos três primeiros meses de 2010 já tivemos fortes oscilações no número de CVEs e boletins. Janeiro viu 2 boletins, seguido por fevereiro com 13, e em seguida, esta semana, apenas 2 novamente.

Se marcamos o número de boletins ao longo do número de CVEs consertados a cada mês, há um padrão distinto. A maioria dos patches da Microsoft são, obviamente, em pulsos de dois meses. O primeiro gráfico mostra as tendências da Microsoft a partir de Janeiro de 2006 a março de 2010. O segundo gráfico mostra apenas os últimos dois anos, 2008 e 2009, onde o selvagem padrão para cima e para baixo é mais óbvio.

Lições aprendidas

Nós nunca seremos capazes de prever os detalhes exatos dos patches em qualquer mês, mas as equipes de segurança podem utilizar estes dados para ajudar no planejamento. Nós todos sabemos que os recursos são curtos, mas os riscos e as ameaças continuam a crescer, para melhor aproveitamento dos recursos nunca foi mais importante.

Não há falta de patches de fornecedores. Felizmente, a Microsoft não só libera seus patches em um horário pré-definido, eles também são bastante previsíveis em tamanho. Desde março o famos Patch Tuesday tem sido leve, mas podemos esperar que a contagem do boletim de abril vai saltar de volta até dois dígitos.

Se você é o gerente de recursos de uma equipe de pessoas responsáveis pela metodologia de aplicação de patches de sua empresa, basta saber que pode ajudá-lo plano. Este mês é a sua chance de recuperar-se de Janeiro. Pensando em abril, faz sentido antecipar um grande lançamento da Microsoft, assim é bom contar com toda a sua equipe.

Não é realmente muito misterioso afinal, não é?

* Andrew Storms ié Diretor de Operações de Segurança da nCircle.