Como construir um programa de gerenciamento de vulnerabilidades
Um programa de gerenciamento de vulnerabilidades identifica, avalia, prioriza e mitiga sistematicamente as vulnerabilidades que podem representar um risco para a infra-estrutura e aplicações de uma empresa. Um programa moderno de gerenciamento de vulnerabilidades combina automação, inteligência de ameaças e ciência de dados para prever quais vulnerabilidades representam o maior risco para um ambiente específico.
Por que um programa de gerenciamento de vulnerabilidades é crítico?
O número de vulnerabilidades observadas em dispositivos, redes e aplicativos tem crescido drasticamente nos últimos anos. Um olhar sobre o National Vulnerability Database revela que o número de Vulnerabilidades e Explorações Comuns (CVEs) triplicou desde 2016.
Em ascensão: Esforços altamente sofisticados para explorar essas vulnerabilidades. De acordo com o Identity Theft Resource Center (ITRC), o número de violações de dados registrados saltou 17% de 2018 para 2019. Apenas nos dois primeiros meses de 2020, 1,66 bilhões de registros foram expostos em 11.476 brechas.
A maior parte das empresas ainda não está devidamente preparada. Em 2019, a PwC descobriu que “menos da metade das empresas a nível global estão suficientemente preparadas para um ataque de ciber-segurança”. Os criminosos cibernéticos estão se tornando mais avançados e as organizações estão lutando para garantir que os conjuntos de habilidades, ferramentas e processos de sua equipe possam lidar com essas ameaças.
Todos esses esforços têm um custo real para as empresas. Até 2021, a Cybersecurity Ventures prevê que os danos causados pelo crime cibernético custarão ao mundo 6 trilhões de dólares anuais (contra 3 trilhões de dólares em 2015) – custos que, em uma época de histórica ruptura econômica, as empresas dificilmente podem arcar.
Como as vulnerabilidades e ataques diversificados continuam a crescer, você precisa de um programa de gerenciamento de vulnerabilidades para proteger adequadamente sua infraestrutura, aplicativos e dados.
Pode um programa tradicional de gerenciamento de vulnerabilidades se manter?
Muitas empresas ainda dependem do hábito de aplicar patches em qualquer coisa acima de um certo limite, como pontuação de sete ou acima do Sistema de Pontuação de Vulnerabilidade Comum (CVSS). Algumas continuam a usar enormes planilhas de vulnerabilidades que depois ordenam com base na intuição, no perfil público de uma vulnerabilidade, ou no número de ativos afetados. Na sua maioria, essa abordagem básica de um programa de gerenciamento de vulnerabilidades funcionou – isto é, até que os atacantes se tornaram mais sofisticados e as infra-estruturas se tornaram mais intrincadas, sensíveis e expansivas.
O problema das organizações de hoje é que esses modelos tradicionais de programas de gerenciamento de vulnerabilidades as forçam a tentar priorizar as vulnerabilidades sem o contexto necessário para avaliar com precisão o risco que uma vulnerabilidade representa para sua organização específica. Por exemplo, uma vulnerabilidade pode estar fazendo as manchetes e causar ansiedade entre as partes interessadas e os executivos. Muitas vulnerabilidades têm sido corrigidas sob estas condições. Mas em muitos casos, a vulnerabilidade pode não ser uma vulnerabilidade que seja explorada ativamente dentro do seu setor; em outras palavras, ela representa um risco relativamente baixo para a sua infraestrutura. Ter esse contexto o ajudaria a determinar quais vulnerabilidades valem a pena corrigir – e depois defender perante outros a sua decisão de privar a remediação de vulnerabilidades de headline-grabbing.
Agora considere que apenas 2%-5% das vulnerabilidades de uma organização são passíveis de serem exploradas. As formas tradicionais de gerenciar as vulnerabilidades provavelmente não serão de grande ajuda na identificação das mais prováveis de serem armadas. Scanners de vulnerabilidades e pontuações CVSS oferecem às equipes de TI e Segurança pouca percepção do risco específico que cada vulnerabilidade representa para uma organização.
Isso deixa as equipes de Segurança tentando persuadir TI e DevOps a remediarem um alto volume de vulnerabilidades que, em última análise, podem não diminuir o risco e desperdiçar ciclos preciosos que poderiam ser dedicados a iniciativas mais estratégicas e significativas. O atrito entre as equipes de Segurança e TI é algo que as organizações com programas tradicionais de gerenciamento de vulnerabilidades conhecem muito bem.
Programas de gerenciamento de vulnerabilidades tradicionais vs. baseados em risco
Uma alternativa mais moderna aos métodos tradicionais é chamada de gerenciamento de vulnerabilidades baseado em risco, que infunde ciência de dados, inteligência de vulnerabilidades em tempo real e automação para criar uma abordagem priorizada e eficiente para melhor isolar e compreender os riscos que realmente representam uma ameaça real para uma organização. As empresas que procuram economizar tempo, criar fluxos de trabalho de remediação mais eficientes e reduzir seu perfil de risco têm se voltado para o gerenciamento de vulnerabilidades baseado em risco.
De acordo com os principais analistas, o futuro dos programas de gerenciamento de vulnerabilidades é baseado em riscos. Nos últimos meses, como as vulnerabilidades e ameaças continuam a aumentar e evoluir, o Gartner reconheceu a necessidade de priorização das vulnerabilidades com base no risco. “O Gartner chamou a atenção para a necessidade crítica de avaliar os ativos para problemas de configuração e vulnerabilidades, e de ser capaz de priorizar o que você faz com essa avaliação, com base no risco para a sua organização”.
E no final do ano passado, a Forrester também observou que a priorização baseada em risco definirá os futuros programas modernos de gerenciamento de vulnerabilidades.
Quais são os passos para construir um programa de gerenciamento de vulnerabilidades?
As organizações que procuram estabelecer ou fortalecer seus programas de gerenciamento de vulnerabilidades devem começar seguindo estes seis passos-chave.
- Reúna sua equipe. Comece a lançar as bases para o seu programa, identificando todos os jogadores-chave necessários. As organizações geralmente têm um diretor ou gerente de segurança encarregado de lidar com o gerenciamento de vulnerabilidades e pelo menos um analista que identifica, rastreia e avalia as vulnerabilidades em todo o seu ambiente. O membro de sua equipe de correção, encarregado de corrigir as vulnerabilidades, pode abranger vários departamentos como TI, DevOps e AppSec.
- Adquirir as ferramentas certas. Ferramentas comuns de busca de vulnerabilidades usadas pelas equipes de Segurança desvendam as vulnerabilidades dentro do ambiente. Uma vez localizadas essas vulnerabilidades, um banco de dados de gerenciamento de configuração fornece informações detalhadas sobre todos os ativos de hardware e software em uma organização. Uma solução de gerenciamento de vulnerabilidades faz sentido e ordena esses dados adquiridos, o que identifica as principais vulnerabilidades que representam o maior risco para a organização. Estas são então alimentadas em um fluxo de trabalho de correção (normalmente usando um sistema de ticketing) que é compartilhado com TI e DevOps.
- Cruzar o cenário de ameaças com o seu ambiente. Leve sua compreensão de seus ativos e vulnerabilidades conhecidas dentro de sua organização e faça uma referência cruzada com a sua inteligência de ameaças. Isso o ajudará a determinar o impacto de uma potencial exploração – um outro fator-chave na determinação do risco. Ferramentas como listas CVE, CPE (common platform enumeration) e CWE (common weakness enumeration) oferecem um começo, mas para efetivamente cruzar referências, você precisa de dados amplos e reais que somente um programa moderno de gerenciamento de vulnerabilidades incorporará.
- Conheça seus ativos, aplicativos e tolerância ao risco. Compreender seus ativos atuais e o nível aceitável de risco de sua organização é fundamental para uma priorização eficaz. Para desenvolver um inventário detalhado dos ativos, procure ferramentas automatizadas para ajudar nessa tarefa de descoberta, que fará um scan em sua organização para identificar ativos como servidores, estações de trabalho, máquinas virtuais, matrizes de armazenamento e dispositivos de rede. Sua tolerância ao risco pode ser informada pelo seu setor ou pelas diretrizes específicas da empresa. Procure fontes dentro de sua empresa para indicar diretrizes de avaliação de risco que envolvam outros aspectos do negócio. Para vulnerabilidades específicas, é fundamental entender quanto risco você pode aceitar e os trade-offs que vêm com remediação agora ou espera.
- Meça, avalie e priorize suas vulnerabilidades. Este é o estágio no qual sua escolha de plataforma de gerenciamento de vulnerabilidades se torna crítica. Ao considerar a plataforma certa para sua organização, procure por uma que integre inteligência de vulnerabilidade do mundo real, ciência de dados, análise de risco automatizada, métricas de risco personalizadas e até mesmo SLAs baseados em risco. As melhores plataformas modernas combinam tudo isso em uma métrica – ou pontuação – que é simples, compreensível e repetível.
- Comunicar, remediar e reportar. Sua solução de gerenciamento de vulnerabilidades deve ajudar – não atrapalhar – sua comunicação interna entre as principais equipes. Ela também deve apoiar a sua capacidade de remediar rápida e eficientemente enquanto mantém todos atualizados, e fazer relatórios sobre o seu progresso simples e intuitivos. Certifique-se de procurar uma plataforma que ofereça integração a sistemas populares de emissão de bilhetes e a capacidade de desenvolver métricas e painéis de controle personalizados para que as principais partes interessadas tenham uma janela constante e fácil de entender no progresso da gestão de riscos da sua empresa. A maioria das organizações emprega uma mistura de três táticas de correção comuns, incluindo patches automatizados, ferramentas de gerenciamento de patches e atualizações manuais.
Aprenda a implementar um programa moderno de gerenciamento de vulnerabilidades baseado em riscos
A necessidade de uma empresa estabelecer um programa moderno de gerenciamento de vulnerabilidades é clara. Apoiar-se nos métodos tradicionais de gerenciamento de vulnerabilidades deixa as equipes de remediação atrás de vulnerabilidades que podem não reduzir seu risco geral e criar ineficiências dentro dos fluxos de trabalho. Os modernos programas de gerenciamento de vulnerabilidades permitem que as organizações assumam uma postura proativa e orientada a dados contra ameaças e otimizem as operações internas para economizar tempo e dinheiro, reduzir o desperdício de esforços, melhorar a colaboração entre as equipes e ter um impacto significativo em seus perfis de risco.
Para uma visão aprofundada sobre como implementar um programa de gerenciamento de vulnerabilidades baseado em riscos, faça o download de Como implementar agora o Gerenciamento de Vulnerabilidades Baseado em Riscos: Um Guia Prático. Repleto de dicas práticas e melhores práticas, este livro eletrônico detalha a importância de um programa moderno de gerenciamento de vulnerabilidades em meio à evolução atual do cenário de ameaças e percorre em detalhes as seis etapas-chave para estabelecer um programa de gerenciamento de vulnerabilidades baseado em riscos descrito acima.
Baixar o livro eletrônico hoje e começar a proteger o seu negócio no futuro.