Quão avançado é o seu programa de gerenciamento de vulnerabilidades?

Atualmente, as vulnerabilidades de segurança são os problemas mais comuns na cibersegurança. Elas podem existir em sistemas operativos, falhas de serviços e aplicativos, configurações erradas ou condutas de risco por parte de usuários finais. 

De acordo com estatísticas da lista de vulnerabilidades e exposições comuns, 12.174 novas vulnerabilidades foram descobertas em apenas no ano de 2019, isto é 13 vezes mais das vulnerabilidades que foram descobertas no ano de 1999, momento em que os bancos de dados começaram a existir. Porém, esse número nem pode ser comparado com o número das vulnerabilidades que ainda não foram descobertas, é difícil  oferecer uma estimação exata de quantas vulnerabilidades de segurança estão afetando o mercado agora  e estão sendo exploradas diariamente.

Independentemente do número exato, essas vulnerabilidades são um desafio no mundo todo que podem facilmente nos preocupar. Muitas organizações sentem que não seu programa de gerenciamento de vulnerabilidades está ficando atrás, e não é uma surpresa o porquê. A pressão que existem sobre ser operacionalmente eficiente e fazer mais com menos em um cenário de ameaças constantemente crescente e envolvente faz com que pareça impossível poder estar na frente. Por isso, neste artigo vamos a diferenciar os diferentes níveis de ameaças e os diferentes níveis que um modelo de gerenciamento de vulnerabilidades pode alcançar em relação a sua maturidade, assim como algumas formas de melhorar em uma perspectiva realista a segurança de uma organização. 

Gerenciamento avançado de ameaças e vulnerabilidades

Um programa formal de gerenciamento de vulnerabilidades e ameaças é um dos componentes mais importantes de um programa robusto de cibersegurança, o qual combina um entendimento dos ativos da organização, a infraestrutura de tecnologia da informação e vulnerabilidades sistêmicas em um todo coerente.

A maturidade de um programa de vulnerabilidades e ameaças é um processo que avalia uma combinação de vários fatores, como  análises dos ativos, scanning das vulnerabilidades, gerenciamento de patches, implementação de processos e métricas que permitem a implementação passo a passo de um programa completo de gerenciamento de vulnerabilidades. A maturidade deste programa pode ser medida em seis níveis consistentes e cada um deles oferece progressivamente uma compreensão de como você pode ser atacado e explorado, assim como métodos eficazes de combate aos adversários.

Nível 0: Sem existência

Mais organizações das que gostaríamos de admitir encontraram que não tinham uma real estratégia de rastreio das suas vulnerabilidades. Algumas organizações não têm analisado seu risco, e outras poderiam pensar que seu risco é tão pequeno que não poderia acontecer alguma coisa, exceto patching manual. Porém, a não ser que a sua organização seja extremamente pequena (pense como máximo em dois dígitos baixos), a implementação de patches não é suficiente para garantir que você esteja totalmente ciente e corrigindo todos os diferentes pontos fracos de segurança em sua rede.

Por sorte, a forma de avançar e sair do nível 0 de maturidade é simplesmente ir para frente. As organizações precisarão adquirir uma solução de avaliação de vulnerabilidade para funcionar regularmente. Idealmente, seu scanner deve cobrir vetores da web e de rede, assim como verificar se há configurações incorretas do dispositivo.

Nível 1: Scanning

Embora um scanner de vulnerabilidade possa ajudar a construir a base de um programa de gerenciamento de vulnerabilidades, ele também apresenta um novo conjunto de considerações. Fazer um processo de scanning mostrará todos os pontos fracos de segurança em potencial. Mas a grande quantidade de novas informações pode dificultar saber por onde começar a correção. Um scanning pode fornecer dados, mas não fornece orientação sobre o que fazer com esses dados.

Para avançar para o próximo nível, será necessário começar a moldar uma estratégia para lidar com essas vulnerabilidades de maneira eficaz. Uma parte importante de uma estratégia de segurança eficaz é examinar as práticas recomendadas e a conformidade do setor. Quase todos os setores da indústria hoje têm requisitos regulamentares de segurança que as organizações desse setor devem cumprir.

Nível 2: Avaliação e conformidade

A mudança do nível 1 para o nível 2 é um avanço bastante grande – indo de uma abordagem de segurança que resolve os problemas à medida que eles surgem para uma estratégia estruturada com avaliações e processos regulares. No entanto, entender as práticas recomendadas e se aderir à conformidade ajuda a fornecer um contexto para quaisquer ações subsequentes.

Sua organização pode usar os requisitos de conformidade como uma base em torno da qual construir seu programa de gerenciamento de vulnerabilidade. Por exemplo, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) se aplica a qualquer organização no setor de varejo e dentre os requisitos, exige que as varreduras sejam executadas trimestralmente e sempre que ocorrerem mudanças significativas na rede. Além disso, é necessário que o patch ocorra dentro de um mês após o lançamento. Uma ferramenta que ajuda neste processo é o teste de intrusão, o qual pode ser usado ​​para validar a vulnerabilidade e o gerenciamento de patches.

Embora seja um bom começo, basear as ações apenas na conformidade não leva em consideração todo o potencial das ameaças. Por isso, o seguinte grande obstáculo é priorizar quais problemas exigem o foco mais urgente e para isto será necessário contexto adicional que ajude a  determinar a melhor ordem de ação.

Relatório de Pentest 2021

As tendências de Pentest mudam constantemente. Conheça as mudanças mais recentes

Nível 3: Análises e priorização

Uma vez que o nível 3 é alcançado, a priorização não é baseada em padrões de conformidade, mas sim determinada pelo risco. As vulnerabilidades conhecidas são classificadas no Common Vulnerability Scoring System (CVSS) para distinguir o quão severas elas são em uma escala de 0 a 10, 10 significa o maior risco de impactar o sistema. Os resultados de uma varredura de vulnerabilidades geralmente observam a pontuação de gravidade correspondente. No entanto, essas pontuações não levam em consideração as circunstâncias de cada ambiente de TI individual.

Os testes de intrusão adicionam mais contexto de negócios ao verificar o potencial de ameaça, classificando o perigo das vulnerabilidades com base no que pode realmente ser aproveitado para obter acesso ao seu ambiente. As análises já processadas ​​integram sistemas e outras ferramentas para garantir uma correção rápida e eficaz. Após isso, outros testes de intrusão deverão ser executados para validar as melhorias.

No entanto, embora esse nível incorpore a priorização com base no risco, ele tende a se concentrar em ameaças únicas, priorizando com base em se um invasor poderia usar uma vulnerabilidade para obter acesso baseado em uma única etapa. Avançar para o próximo nível significa poder identificar caminhos de ataque, avaliando não apenas como os invasores conseguem entrar, mas como eles direcionam dados valiosos.

Nível 4: Gerenciamento de ataques

Quando o nível 4 é alcançado, você não está mais olhando para as vulnerabilidades e patches como entidades separadas, mas sim como um ecossistema completo. Antes desse nível, as organizações podem ter se acostumado a simplesmente identificar o número de vulnerabilidades verificadas e corrigidas em endpoints, dispositivos de rede, aplicativos e sistemas, mas isso não avalia o risco de forma holística.

O gerenciamento de ataques usa dados de teste de varredura e de intrusão para identificar como um agente de ameaça pode se mover pelo sistema, usando vulnerabilidades diferentes para obter acesso a ativos críticos de negócios. A priorização é baseada especificamente no risco para esses ativos. Por exemplo, vulnerabilidades com pontuações CVSS baixas podem não parecer inicialmente tão impactantes, mas uma análise mais aprofundada pode mostrar que elas podem ser aproveitadas e usadas como um ponto de partida para alcançar outras vulnerabilidades ou recursos de maior risco.

Nível 5: Gerenciamento de riscos empresariais

Em último lugar, está o nível em que todas as organizações devem se empenhar: um programa de gerenciamento totalmente desenvolvido que leva todo o ambiente em consideração. Para isso, analisa dados de varreduras de vulnerabilidade e testes de intrusão, examina métricas para identificar tendências, usa processos aprimorados e prioriza técnicas avançadas de correção. No entanto, uma vez que uma organização chega neste nível, não pode ficar ociosa. Para permanecer no nível cinco, a organização pode (e deveria) incorporar pentesters terceiros (ou alternar a equipe de pentesters terceiros previamente utilizada) para continuar validando o programa e obter uma visão nova.

Não importa em que nível você esteja, o gerenciamento de vulnerabilidade é um processo contínuo e em evolução. Se você avaliar regularmente seu programa e permanecer flexível para se adaptar a novos desafios, você continuará crescendo ou manterá a maturidade do programa com sucesso.


Compartilhe!

Últimos posts

×