Você está vulnerável? Sua rede está comprometida? Suas informações estão seguras? Saiba responder essas perguntas entendendo o que é vulnerabilidade na área de TI.
Entendendo melhor uma Vulnerabilidade
Todos sabem o que é vulnerabilidade, porém na área de TI, isso tem um significado específico. Em termos do léxico, algo vulnerável é aquilo que é sensível a determinadas ameaças. É uma “brecha” em algo que permite um ataque ou associa-se a determinado risco.
Vamos então considerar a área de TI: a vulnerabilidade é algo que ocorre antes da ameaça em si. Contudo, ela tem origens distintas.
De acordo com a ISO 27000, que provê uma visão geral e vocabulário para Sistemas de Gestão de Segurança da Informação ISO, uma vulnerabilidade é
“uma fraqueza de um ativo que poderia ser potencialmente explorada por uma ou mais ameaças.” Ela também define uma ameaça como qualquer “causa potencial de um incidente não desejado que possa resultar em dano ao sistema ou organização.”
Assim, uma vulnerabilidade surge quando uma ameaça encontra uma fraqueza que ela pode explorar, mas de onde esta fraqueza veio? De forma geral, uma fraqueza é uma falha que ocorre durante a concepção, implementação, configuração ou operação de um ativo ou controle. Fraquezas podem ser criadas por descuido, ou intencionalmente. Algumas são fáceis de se identificar / corrigir / explorar, enquanto outras requerem algum tempo, esforço e recursos.
Como funciona.
A gestão de vulnerabilidades em TI se fixa em três metas:
Identificação de vulnerabilidades em tempo hábil.
Quanto mais cedo você descobrir uma vulnerabilidade, mais tempo você terá para corrigi-la, ou ao menos para avisar o fabricante sobre a situação, diminuendo a janela de oportunidade que um atacante em potencial poderia ter.
Avaliar a exposição da organização a uma vulnerabilidade.
Nem todas as organizações são afetadas da mesma maneira por uma certa vulnerabilidade, ou conjunto de vulnerabilidades. Você precisa fazer uma avaliação de risco para identificar e priorizar aquelas vulnerabilidades que são mais críticas para os seus ativos e negócio.
Adoção de medidas apropriadas considerando os riscos associados.
Uma vez que você tenha identificado as vulnerabilidades mais críticas, você precisa pensar sobre ações e alocação de recursos dos quais dispõe para lidar com elas – este é o seu plano de tratamento de riscos. A forma mais prudente é considerar o nível de riscos associado a cada vulnerabilidade.
Lidando com os riscos
Em primeiro lugar, o comportamento do usuário determina e define uma série de vulnerabilidades. Por exemplo, a falta de atenção ou pressa, em grandes empresas, leva usuários comuns a não realizarem atualizações devidas.
Isso é um tipo de comportamento que aumenta a exposição a malwares e ameaças mais recentes, criando uma vulnerabilidade. O acesso a sites indevidos ou de conteúdo arriscado ou a instalação de softwares não autorizados são outras condutas associadas a falhas humanas.
Treinamento e conscientização são medidas recomendadas para lidar com esse tipo de vulnerabilidade. Entretanto, sistemas e suites completos de antivírus ou endpoint protection automatizam muitas das tarefas deixadas de lado por usuários, como atualização de patches de segurança de diversos fabricantes (ex. Microsoft, Adobe), proteção em dispositivos removíveis, o que também ajuda.
Erros de programação
Problemas de programação e código geram enormes vulnerabilidades. Imagine, por exemplo, um pequeno erro de código no Windows que permita o acesso remoto a hackers enquanto abrimos vídeos pelo Media Player. Esse tipo de vulnerabilidade expõe, automaticamente, mais de metade dos usuários de computadores no mundo.
Por essa razão a Microsoft atualiza tanto seus sistemas. Se você analisar cada uma das atualizações e pacotes, verá que grande parte deles se refere à correções e fixes em sistemas que expõe o usuário a ameaças externas.
Problemas de configuração
Aqui chegamos às falhas de segurança que são decorrentes de uma má política de TI. Os sistemas atuais de endpoint protection lidam não apenas com o tratamento de ameaças, mas também com as políticas de segurança e acesso nas empresas.
Sistemas como aqueles desenvolvidos hoje pela Sophos ou Symantec permitem a equipes de TI lidar com configurações errôneas ou fora de padrão, mesmo de forma remota.
Comprometendo redes
As vulnerabilidades precisam sempre ser analisadas em longo prazo. Ao contrário de ameaças pontuais, elas precisam ser tratadas de modo contínuo, por softwares e políticas que possam mitigá-las. As vulnerabilidades não tratadas são capazes de comprometer redes em três pilares fundamentais da segurança da informação:
- Sob o viés da integridade, comprometendo o nível de confiabilidade de um banco de dados ou uma aplicação, por exemplo
- Pela óptica da disponibilidade, impedindo o acesso de usuários autenticados a determinadas informações ou negando requisições em uma rede
- E pelo lado da confidencialidade, expondo dados e informações de caráter sigiloso sem a autorização devida
Se os softwares de antivírus funcionavam como um remédio e os sistemas modernos de endpoint protection como vacina, a análise de vulnerabilidades torna ambos mais eficientes. Essa análise funciona como uma pesquisa na área de saúde: identificam-se os principais pontos de risco, para que vacinas e medicamentos sejam aprimorados em tempo de evitar as ameaças.
Conclusão
Devido a demanda de Mercado por entrega cada vez mais rápida de software e por mais funcionalidades, você pode esperar que o número de vulnerabilidades se torne cada vez maior, assim, de forma a preservar a segurança de seus ativos de informação e a imagem e competitividade de sua organização, é vital planejar como identificar e tratar com vulnerabilidades, você poderá evitar muitas preocupações, assim como minimizar perdas e impactos na reputação do seu negócio.
Agora que você já entendeu o que é vulnerabilidade na área de TI, sugerimos a leitura do post “O que é Endpoint Protection?”.
Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do [email protected].
Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!
Queremos dar crédito aos sites onde tiramos algumas ideias para a criação de nosso post. Afinal o conhecimento é compartilhado.
[wp-review id=”10183″]