Violações maciças fizeram com que muitas empresas buscassem medidas mais fortes e proativas para gerenciar vulnerabilidades em seus ambientes, no entanto, à medida que as infraestruturas corporativas se tornaram mais complexas, abrangendo a nuvem e vastas superfícies de ataque, as empresas acharam mais difícil obter visibilidade completa das vulnerabilidades de proliferação rápida em seus ecossistemas. Aproveitando a oportunidade, os cibercriminosos aprenderam a explorar cadeias de fraquezas em sistemas, aplicativos e pessoas.
Os programas de gerenciamento de vulnerabilidades abordam os desafios modernos de segurança cibernética instituindo um processo abrangente e contínuo para identificar, classificar, corrigir e mitigar vulnerabilidades antes que os invasores possam tirar proveito delas. No centro desses programas de gerenciamento de vulnerabilidade, está geralmente um scanner de vulnerabilidade que avalia e entende, automaticamente, os riscos em toda a infraestrutura, gerando relatórios fáceis de entender e que ajudam as empresas de forma adequada e rápida para priorizar as vulnerabilidades que devem corrigir ou mitigar.
As cinco etapas de um programa de gerenciamento de vulnerabilidade
É importante observar que um bom processo de gerenciamento de vulnerabilidades deve verificar continuamente as vulnerabilidades à medida que são introduzidas no ambiente, pois as circunstâncias podem mudar rapidamente.
1. Processo de gerenciamento de risco
O processo de gerenciamento de riscos envolve identificação, monitoramento e gerenciamento de riscos potenciais e seus impactos negativos em um negócio. Exemplos de riscos potenciais incluem perda de dados, ataques cibernéticos, violações de segurança, falhas de sistema e desastres naturais.
Um plano de gerenciamento de riscos permite que uma empresa entenda e controle os riscos para que possa tomar melhores decisões na avaliação e tratamento das vulnerabilidades.
2. Identificando vulnerabilidades
A segunda etapa do processo de gerenciamento de vulnerabilidade é trazer à luz todas as vulnerabilidades que podem existir em seu ambiente. Um scanner de vulnerabilidade faz isso, examinando toda a gama de sistemas acessíveis que existem – de laptops, desktops e servidores a bancos de dados, firewalls, switches, impressoras e muito mais.
A partir daí, o scanner de vulnerabilidade identifica todas as portas e serviços abertos em execução nesses sistemas, efetuando login neles e reunindo informações detalhadas, sempre que possível, antes de correlacionar as informações obtidas com vulnerabilidades conhecidas. Esse insight pode ser usado para criar relatórios, métricas e painéis para uma variedade de públicos.
3. Avaliação de vulnerabilidades
Depois de identificar todas as vulnerabilidades em seu ambiente, você precisará avaliá-las para lidar, adequadamente, com os riscos que representam de acordo com a estratégia de gerenciamento de risco da sua organização. Diferentes soluções de gerenciamento de vulnerabilidades usam diferentes classificações de risco e pontuações para vulnerabilidades, mas uma estrutura comumente referenciada para novos programas é o Common Vulnerability Scoring System (CVSS).
As pontuações de vulnerabilidade podem ajudar as organizações a determinar como priorizar as vulnerabilidades que descobriram, é importante também considerar outros fatores para formar um entendimento completo do verdadeiro risco representado por qualquer vulnerabilidade. Também é importante notar que os scanners de vulnerabilidade podem gerar falsos positivos, ressaltando a necessidade de incluir avaliação por especialista de segurança da informação.
4. Tratamento de vulnerabilidades
Depois de priorizar as vulnerabilidades encontradas, é importante tratá-las. Dependendo da vulnerabilidade em questão, o tratamento, geralmente, prossegue de acordo com um dos três caminhos a seguir:
- Correção: Consertando ou corrigindo totalmente uma vulnerabilidade para que ela não possa ser explorada, o que geralmente é a opção mais preferível sempre que possível.
- Mitigação. Quando a correção não pode ser realizada, uma organização pode escolher a próxima melhor opção para reduzir a probabilidade de uma vulnerabilidade ser explorada, através da implementação de controles de compensação. Essa solução deve ser temporária, ganhando tempo para que a organização eventualmente remedie a vulnerabilidade.
- Aceitação. Se uma vulnerabilidade for considerada de baixo risco ou o custo de corrigi-la for muito maior do que seria se fosse explorada, uma organização pode simplesmente optar por não realizar nenhuma ação para consertar a vulnerabilidade.
Assim que a correção for considerada concluída, é aconselhável executar outra varredura de vulnerabilidade para se certificar de que a vulnerabilidade foi, de fato, corrigida ou mitigada de forma eficaz.
5. Relatório de vulnerabilidades
Melhorar a velocidade e a precisão com que você detecta e trata as vulnerabilidades é essencial para gerenciar o risco que elas representam e é por isso que muitas organizações avaliam continuamente a eficácia de seu programa de gerenciamento de vulnerabilidades. Armadas com os insights necessários, as equipes de TI podem identificar quais técnicas de remediação os ajudarão a corrigir a maioria das vulnerabilidades com o mínimo de esforço. As equipes de segurança, por sua vez, podem usar esse relatório para monitorar tendências de vulnerabilidade ao longo do tempo e comunicar seu progresso de redução de risco à liderança. As empresas também podem usar essas avaliações para cumprir seus requisitos regulamentares e de conformidade.