O que é gerenciamento de vulnerabilidades?

O gerenciamento de vulnerabilidades permite identificar, priorizar e responder a problemas de software e configurações incorretas que podem ser explorados por invasores, causar a liberação acidental de dados confidenciais ou interromper as operações de negócio.

O ecossistema cibernético moderno é tudo, menos estático. Ele é uma entidade em constante mudança e evolução que se expande continuamente para abranger novas tecnologias, sistemas e indivíduos. Infelizmente, isso torna a segurança uma tarefa assustadora.

Novas vulnerabilidades digitais estão sendo descobertas quase diariamente, e elas são responsáveis por milhares de novos vetores de ameaça todos os anos que podem ser explorados, causando problemas significativos para organizações de praticamente todos os setores. E, de acordo com o Ponemon Institute, o custo médio global de uma violação de dados nos Estados Unidos é de US$ 8,64 milhões. Dessa forma, responder aos ataques somente depois que eles ocorrerem simplesmente não é uma defesa eficaz.

Além disso, os sistemas e serviços estão se tornando cada vez mais complexos e partes integrantes da sociedade moderna. Ocorrerão erros conforme os usuários configuram, mantêm e adicionam mais tecnologia e dispositivos ao ambiente. Cada erro é uma oportunidade para o surgimento de um problema.

O gerenciamento de vulnerabilidades oferece uma solução.

Definição do gerenciamento de vulnerabilidades

O gerenciamento de vulnerabilidades é um termo que descreve vários processos, ferramentas e estratégias de identificação, avaliação, tratamento e geração de relatórios sobre vulnerabilidades e configurações incorretas de segurança no software e nos sistemas de uma organização. Em outras palavras, ele permite que você monitore o ambiente digital da sua empresa para identificar possíveis riscos e ter uma visão atualizada do seu status de segurança atual.

Vulnerabilidades de segurança

Em termos gerais, uma vulnerabilidade é um ponto fraco, uma falha que pode ser explorada. Na ciência da computação, uma vulnerabilidade de segurança é basicamente a mesma coisa. As vulnerabilidades de segurança são visadas por agentes de ameaças. Esses invasores tentam encontrar e explorar vulnerabilidades para acessar sistemas restritos.

Scanner de vulnerabilidades

A identificação de vulnerabilidades em todos os sistemas, redes e aplicativos requer ferramentas específicas. Um scanner de vulnerabilidades é um programa projetado para analisar seus sistemas digitais e descobrir todos os possíveis pontos fracos, possibilitando o gerenciamento de vulnerabilidades.

Gerenciamento de vulnerabilidades baseado em riscos

Uma extensão do gerenciamento de vulnerabilidades, os programas de gerenciamento de vulnerabilidades baseado em riscos foram projetados para resolver os pontos fracos inerentes aos sistemas digitais, incluindo software, hardware e infraestrutura. O gerenciamento de vulnerabilidades baseado em riscos usa o aprendizado de máquina para estender o gerenciamento de vulnerabilidades para além dos ativos de TI tradicionais, incorporando infraestrutura em nuvem, dispositivos de IoT, aplicativos da Web e muito mais. Isso permite que os negócios acessem informações relevantes em toda a superfície de ataque.

O gerenciamento de vulnerabilidades baseado em riscos também permite uma priorização mais precisa e baseada em riscos. Sua empresa pode se concentrar primeiro em identificar e reparar os pontos fracos que, mais provavelmente, resultarão em uma violação, deixando as vulnerabilidades menos críticas para depois.

Gerenciamento de vulnerabilidades x avaliação de vulnerabilidades

O gerenciamento de vulnerabilidades e a avaliação de vulnerabilidades contribuem para abordar e resolver vulnerabilidades de segurança cibernética com eficiência. No entanto, eles não são termos sinônimos.

Uma avaliação de vulnerabilidades é apenas a primeira fase do gerenciamento de vulnerabilidades. A maioria das empresas usa ferramentas de verificação para examinar dispositivos em sua rede e coletar informações sobre a versão do software instalado e compará-las com as vulnerabilidades conhecidas anunciadas por fornecedores de software. Várias ferramentas de verificação, com ou sem agentes ou credenciais, geralmente são necessárias para cobrir a variedade de software em uso (aplicativos, sistemas operacionais, provedores de serviços de nuvem etc.). As empresas executam verificações em intervalos programados — geralmente mensais ou trimestrais — e, depois, usam a lista, geralmente enviada por e-mail como uma planilha, para atribuir tarefas de atualização ou aplicação de patches. Se uma vulnerabilidade de dia zero for anunciada, uma que está sendo explorada ativamente e para a qual um patch pode ainda não estar disponível, uma empresa poderá iniciar uma verificação sob demanda que pode levar dias ou semanas, dependendo do tamanho e da configuração da infraestrutura.

Por outro lado, o gerenciamento de vulnerabilidades é um ciclo de vida, não apenas uma verificação programada ou ad hoc. Em vez disso, é um programa contínuo que passa da avaliação à priorização e à correção. Ele usa várias fontes de dados para avaliar e reavaliar continuamente o estado atual do seu software e serviços. Ao adicionar o contexto de negócios, ameaças, explorações e riscos às informações de software geradas pelas ferramentas de avaliação, um sistema de gerenciamento de vulnerabilidades pode chamar a atenção para as vulnerabilidades que devem ser resolvidas imediatamente de maneira eficiente e, até mesmo, sugerir a melhor solução ou tática de mitigação. A avaliação, o reparo e os relatórios constantes sobre vulnerabilidades permitem que você gerencie e resolva as vulnerabilidades de segurança diariamente. Isso significa que é possível detectar os pontos fracos mais rapidamente, resolver primeiramente os problemas de maior impacto e ignorar menos vulnerabilidades.

Em poucas palavras, uma avaliação de vulnerabilidades apresenta uma visão geral da sua postura de software de TI; o gerenciamento de vulnerabilidades oferece inteligência em tempo real e em constante evolução, orientações de correção e relatórios.

À medida que cada vez mais informações são criadas e contidas em sistemas digitais, e as organizações continuam aumentando o uso de tecnologias móveis e dispositivos de IoT, novas vulnerabilidades de segurança estão surgindo. Aqui, vamos analisar algumas das estatísticas mais relevantes relacionadas ao gerenciamento de vulnerabilidades:

  • 17.002 novas vulnerabilidades de segurança foram identificadas e publicadas em 2020. (Stack Watch)
  • A vulnerabilidade média teve uma classificação de gravidade de 7,1 de 10. (Stack Watch)
  • 48% das organizações informam ter sofrido uma violação de dados nos últimos dois anos. (ServiceNow)
  • 60% das vítimas de violação disseram ter sofrido violações devido a uma vulnerabilidade conhecida para a qual não houve a aplicação de um patch. (ServiceNow)
  • 62% não sabiam que suas organizações estavam vulneráveis antes da violação de dados. (ServiceNow)
  • 52% dos participantes da pesquisa disseram que suas organizações estão em desvantagem para reagir a vulnerabilidades porque usam processos manuais. (ServiceNow)

Os cinco fornecedores com as vulnerabilidades de segurança mais documentadas em 2020 são Microsoft, Google, Oracle, Apple e IBM. (Stack Watch)

Certamente, os agentes de ameaças têm muitas vulnerabilidades para explorar. E, considerando-se os danos que podem resultar de uma violação de dados (não apenas em termos de perda financeira, mas também em relação às interrupções operacionais, aos danos à confiança do cliente, à reputação da marca e, até mesmo, às possíveis ramificações legais), é absolutamente vital encontrar e corrigir vulnerabilidades.

Um sistema eficaz de gerenciamento de vulnerabilidades oferece uma importante camada adicional de proteção, permitindo que você gerencie e corrija falhas de segurança de TI continuamente.

Nenhuma discussão sobre gerenciamento de vulnerabilidades estaria completa sem abordar os exploits: o que eles são e como se preparar para eles.

Um exploit é um programa de software mal-intencionado (malware). Ele consiste em um código especializado que aproveita as vulnerabilidades conhecidas de um sistema. Inicialmente, os agentes de ameaças usam exploits para acessar redes e sistemas relacionados remotamente. Em seguida, eles podem roubar ou alterar dados, dar a si próprios privilégios do sistema, bloquear usuários autorizados, aprofundar-se na rede e abrir a porta para outras técnicas de ataque ou malware.

Um fator importante a considerar é que os exploits são programas de software projetados para visar e se aproveitar de vulnerabilidades conhecidas ou, no caso de um dia zero, de uma vulnerabilidade que pode não ser conhecida e, portanto, não terá sido corrigida por patches. Ao implementar o gerenciamento de vulnerabilidades em sua organização, você pode abordar e reparar as mesmas vulnerabilidades visadas pelos exploits.

Além do gerenciamento contínuo de vulnerabilidades, você também pode preparar sua organização das seguintes maneiras:

  • Ofereça treinamento de segurança de TI para todos os funcionários
    Seu departamento de TI não é o único departamento que precisa saber como se defender contra possíveis ataques. Treine todos os seus funcionários nas práticas recomendadas de segurança de TI e certifique-se de que as políticas de segurança cibernética da sua organização estejam atualizadas.
  • Implemente a filtragem e a verificação de tráfego
    A filtragem e a verificação de tráfego oferecem mais visibilidade sobre o tráfego da rede e permitem que você envie os tipos corretos de tráfego às ferramentas certas de monitoramento de segurança. Isso evita gargalos de tráfego, reduz a latência e proporciona uma identificação e uma resposta mais rápidas aos agentes mal-intencionados.
  • Continue fazendo a aplicação regular de patches
    Os fornecedores de software oferecerão patches e atualizações regularmente para ajudar a proteger seus produtos contra vulnerabilidades emergentes. Verificar se há patches regularmente e garantir que todos os seus sistemas e aplicativos estejam operando com as versões mais atualizadas são ações que ajudarão a garantir que as vulnerabilidades conhecidas não sejam usadas contra você.

Para obter mais informações sobre como proteger seu ecossistema vital de TI, confira Implementing Agile Security Response: The Essential Checklist.

À medida que os fornecedores e desenvolvedores lançam soluções de software, eles nem sempre têm tempo para identificar e resolver todas as vulnerabilidades possíveis antes de o produto ser colocado no mercado. Assim, as falhas e os bugs podem passar despercebidos por algum tempo.

Conforme os fornecedores, as agências de segurança, os responsáveis por testes e os usuários tradicionais descobrem novas vulnerabilidades, as vulnerabilidades geralmente são relatadas e divulgadas por meio dos canais adequados. Em seguida, os fornecedores são responsáveis por aplicar patches aos produtos expostos. Dependendo da gravidade ou da importância da vulnerabilidade, os fornecedores se moverão mais ou menos rapidamente para lançar um patch. Normalmente, os grandes fornecedores agregam e testam patches em uma versão de "Patch Tuesday", para que seus clientes possam ter menos interrupções e menos trabalho na implementação da correção.

Embora os fornecedores provavelmente utilizem seus próprios responsáveis por testes e, até mesmo agências terceirizadas de teste de invasão para identificar vulnerabilidades, muitas falhas passam despercebidas até serem encontradas por usuários ou identificadas por hackers. Com isso em mente, o gerenciamento contínuo de vulnerabilidades se torna ainda mais essencial.

O gerenciamento de vulnerabilidades é um processo cíclico; ele segue um número definido de fases e, depois, se repete. Esse ciclo inclui seis etapas:

Descobrir vulnerabilidades

Quanto mais tempo uma vulnerabilidade permanecer não detectada, maior a probabilidade de ela resultar em uma violação de segurança. Realize verificações semanais externas e internas da rede para identificar vulnerabilidades novas e existentes. Esse processo inclui a verificação de sistemas acessíveis pela rede, a identificação de portas e serviços abertos nesses sistemas, a coleta de informações do sistema e a comparação de informações do sistema com vulnerabilidades conhecidas.

Priorizar os ativos

Depois de saber o que está em uso, você pode atribuir a cada ativo um valor com base em seu uso ou sua função no negócio. Isso é um aplicativo ou um servidor da Web usado para oferecer suporte aos seus melhores clientes ou funcionários essenciais, ou é apenas uma impressora? Isso é um notebook executivo ou um terminal de help desk para clientes? Ao adicionar esse contexto à sua lista de sistemas, você saberá o quanto é importante corrigir uma vulnerabilidade.

Avaliar as vulnerabilidades

Na avaliação, você faz a verificação para entender o estado dos aplicativos e sistemas no seu ambiente.

Priorizar as vulnerabilidades

À medida que suas verificações detectarem vulnerabilidades, você precisará priorizá-las com base no possível risco para o negócio, a equipe de trabalho e os clientes. Geralmente, as plataformas de gerenciamento de vulnerabilidades oferecem diferentes métricas internas para avaliar e classificar vulnerabilidades. Dito isso, você também precisará enriquecer o processo com contexto de negócios, ameaças e riscos, que pode vir de fontes internas ou externas. O objetivo é identificar as vulnerabilidades mais relevantes para você, de alto impacto e de alta probabilidade. Com a explosão de programas de software, serviços e dispositivos em seu negócio, talvez você nunca consiga aplicar patches a todas as suas vulnerabilidades. Identificar os alvos mais importantes e prováveis de um ataque é uma maneira prática de gerenciar essa realidade.

Corrigir as vulnerabilidades

Com as vulnerabilidades identificadas, priorizadas e catalogadas, a próxima etapa óbvia é corrigi-las e/ou mitigá-las. É importante observar que, muitas vezes, os membros de uma empresa que são responsáveis por entender os riscos associados às vulnerabilidades geralmente não são os mesmos indivíduos com autoridade para implementar soluções. Com isso em mente, sua organização deve trabalhar para alcançar uma linguagem, critérios de decisão e processos comuns entre as equipes de operações de segurança, operações de TI e administração de sistemas.

Verificar a correção

A etapa final e geralmente negligenciada desse processo é verificar se a vulnerabilidade foi resolvida. Depois das etapas mencionadas acima, faça outra verificação para garantir que seus riscos de maior prioridade sejam efetivamente resolvidos ou mitigados. Essa etapa final permite que o incidente seja encerrado no sistema de rastreamento e facilita as principais métricas de desempenho, como tempo médio para resolução (MTTR) ou número de vulnerabilidades críticas abertas.

Gerar relatórios sobre o status

Especialmente quando há um evento digno de notícia, como uma grande falha de software ou uma vulnerabilidade explorada de dia zero, os gerentes, os executivos e até mesmo a diretoria podem se perguntar se você avaliou e abordou corretamente as vulnerabilidades do negócio. Os relatórios sobre tendências de vulnerabilidades, riscos e desempenho do gerenciamento de vulnerabilidades também ajudam a justificar a alocação de equipe ou o uso de ferramentas. As principais plataformas de gerenciamento de vulnerabilidades incluem opções para gerar relatórios visuais e painéis interativos automaticamente para dar suporte a diferentes usuários, partes interessadas e pontos de vista.

2-What-is-Vulnerability-Mngmt-A

As seis etapas descritas acima demonstram uma abordagem estruturada e sequencial de gerenciamento de vulnerabilidades. Da mesma forma, a estrutura certa é vital à medida que você configura seu processo de gerenciamento de vulnerabilidades. Estas são as etapas que você deve considerar:

Definir seus objetivos

Obviamente, o principal objetivo de qualquer solução de gerenciamento de vulnerabilidades deve ser identificar e corrigir ou mitigar vulnerabilidades no seu sistema, e fazer isso antes que essas vulnerabilidades possam ser exploradas. No entanto, você também deve identificar quaisquer objetivos secundários da sua organização em relação ao processo de gerenciamento de vulnerabilidades.

Os objetivos secundários permitem aprimorar a eficácia geral do gerenciamento de vulnerabilidades e a forma como sua organização implementa os dados resultantes. Esses objetivos secundários podem incluir o aumento da regularidade das verificações de vulnerabilidades ou a aceleração do tempo de resolução para solucionar as vulnerabilidades identificadas.

Definir as funções na sua organização

Para que sua solução de gerenciamento de vulnerabilidades seja eficaz, você precisará que todas as partes interessadas estejam comprometidas com o sucesso dela e que as funções e as responsabilidades no processo sejam claramente definidas. Embora diferentes estruturas e capacidades organizacionais possam exigir uma separação diferente de responsabilidades, a maioria dos negócios pode se beneficiar da atribuição de indivíduos às funções de monitores, solucionadores e autorizadores.

  • Monitores
    Essa função avalia vulnerabilidades quanto à gravidade e ao risco, documenta as descobertas e, em seguida, alerta os solucionadores, que serão responsáveis por resolver os problemas.
  • Solucionadores
    Essa função é responsável por localizar patches para problemas conhecidos e criar soluções de mitigação quando os patches não estiverem disponíveis ou quando não for conveniente aplicá-los.
  • Autorizadores
    Essa função tem uma visão geral das vulnerabilidades do sistema e é responsável por fazer mudanças nas estratégias e nos procedimentos, quando necessário, para mitigar os efeitos das vulnerabilidades agora e no futuro.

Avaliar a eficácia do seu programa de gerenciamento de vulnerabilidades

Os processos contínuos de gerenciamento de vulnerabilidades permitem que seu negócio tenha uma visão mais clara e atualizada do status geral de segurança. Como um bônus adicional, a natureza contínua desses processos ajudará você a desenvolver uma avaliação precisa de quais aspectos da sua abordagem de gerenciamento de vulnerabilidades estão funcionando e quais precisam de ajuste.

Lembre-se: embora as etapas básicas do gerenciamento de vulnerabilidades sejam relativamente consistentes, as organizações podem fazer variações sutis na abordagem. Não tenha medo de fazer mudanças nos seus processos para aprimorar a precisão, a clareza e a correção.

Para criar um processo eficiente e contínuo de gerenciamento de vulnerabilidades, as principais soluções devem incluir os seguintes elementos:

Análise

Inclui verificação de rede e registro de firewall em log, bem como testes de invasão e ferramentas automatizadas. De fato, existem muitas fontes diferentes de dados de verificação; por isso, não se sinta como se precisasse limitar suas opções a uma só empresa ou ferramenta.

Descoberta

Envolve a análise dos resultados das suas verificações para identificar vulnerabilidades e possíveis evidências de violações passadas ou em andamento.

Verificação

Incorpora uma avaliação das próprias vulnerabilidades para determinar como elas podem ser usadas pelos agentes de ameaças e qual risco elas envolvem.

Priorização com base na mitigação de riscos e impactos

Pode incorporar o gerenciamento de vulnerabilidades com base em riscos para determinar quais bugs são os de mais alto risco e, portanto, devem ser colocados em uma maior prioridade para correção ou mitigação.

Aplicação de patches

Envolve a aplicação de patches para as vulnerabilidades identificadas, eliminando-as efetivamente como possíveis vetores de ameaça.

Medição

Envolve avaliar a eficácia da solução de gerenciamento de vulnerabilidades e fazer mudanças no processo quando necessário.

Comece a usar o SecOps

Identifique, priorize e responda a ameaças mais rapidamente.