O que é Gerenciamento de Vulnerabilidades?

O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, tratar e relatar vulnerabilidades de segurança em sistemas e no software que neles é executado. Isso, implementado juntamente com outras táticas de segurança, é vital para que as organizações priorizem possíveis ameaças e minimizem sua “superfície de ataque”.

As vulnerabilidades de segurança, por sua vez, referem-se a fraquezas tecnológicas que permitem que invasores comprometam um produto e as informações que ele contém. Esse processo precisa ser realizado continuamente para acompanhar os novos sistemas adicionados às redes, as mudanças feitas nos sistemas e a descoberta de novas vulnerabilidades ao longo do tempo.

Por que o gerenciamento de vulnerabilidades é importante?

As vulnerabilidades de segurança ocorrem em aplicativos, dispositivos de endpoint, servidores, redes e serviços de nuvem. Atacantes maliciosos estão constantemente procurando lacunas de segurança em sistemas de TI. Encontrar uma vulnerabilidade explorável facilita para um atacante entrar nos sistemas, acessar dados corporativos e interromper as operações comerciais.

Como resultado, o gerenciamento de vulnerabilidades eficaz é essencial para proteger proativamente ambientes de TI cada vez mais complexos. Nenhuma organização está imune a ataques – até mesmo as menores podem se beneficiar de um programa de gerenciamento de vulnerabilidades. Para organizações maiores, com mais sistemas e aplicativos em funcionamento, uma única vulnerabilidade poderia ser um caminho para um ataque em toda a empresa.

Em várias indústrias, incluindo saúde, serviços financeiros, varejo e comércio eletrônico, medidas de conformidade regulatória exigem que as organizações tenham iniciativas de gerenciamento de vulnerabilidades em vigor. Por exemplo, as práticas de gerenciamento de vulnerabilidades são exigidas por regulamentos governamentais e da indústria, como a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), a Lei Gramm-Leach-Bliley e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Elas também são necessárias para a conformidade com a ISO 27001, uma norma de gestão de segurança da informação desenvolvida pela Organização Internacional de Normalização (ISO) e formalmente conhecida como ISO/IEC 27001:2022.

E qual a diferença entre uma Vulnerabilidade, um Risco e uma Ameaça?

Uma vulnerabilidade, conforme definida pela Organização Internacional de Normalização (ISO 27002), é “uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças”. Já uma ameaça é algo que pode explorar uma vulnerabilidade.

Um risco é o que acontece quando uma ameaça explora uma vulnerabilidade. É o dano que poderia ser causado pela vulnerabilidade aberta sendo explorada por uma ameaça.

Como são classificadas e categorizadas as vulnerabilidades?

O Common Vulnerability Scoring System (CVSS) é um padrão da indústria gratuito e aberto que a CrowdStrike e muitas outras organizações de cibersegurança utilizam para avaliar e comunicar a gravidade e as características das vulnerabilidades de software. O Score Base do CVSS varia de 0.0 a 10.0, e o National Vulnerability Database (NVD) adiciona uma classificação de gravidade para os scores do CVSS. Os scores do CVSS v3.0 e suas respectivas classificações são as seguintes:

  • 0.0: Nenhum
  • 0.1-3.9: Baixa
  • 4.0-6.9: Média
  • 7.0-8.9: Alta
  • 9.0-10.0: Crítica

O NVD também fornece uma biblioteca regularmente atualizada de vulnerabilidades e exposições comuns (CVEs), fornecendo as classificações e outras informações associadas (como fornecedor, nome do produto, versão, etc.). A lista de CVEs tem origem na Corporação MITRE. O MITRE é uma organização sem fins lucrativos que começou a documentar CVEs em 1999. Ele fornece informações básicas sobre cada vulnerabilidade e é sincronizado automaticamente com o NVD.

O processo de gerenciamento de vulnerabilidades

Devido ao surgimento constante de novas vulnerabilidades, as equipes de segurança abordam o gerenciamento de vulnerabilidades como um ciclo de vida contínuo, em vez de um evento discreto. Esse ciclo de vida é composto por cinco fluxos de trabalho contínuos e sobrepostos: Descoberta, categorização e priorização, resolução, reavaliação e relatório.

Descoberta

O fluxo de trabalho de descoberta gira em torno da avaliação de vulnerabilidades, um processo para verificar todos os ativos de TI de uma organização em busca de vulnerabilidades conhecidas e potenciais. Normalmente, as equipes de segurança automatizam esse processo usando software de scanner de vulnerabilidades. Alguns scanners de vulnerabilidades realizam varreduras abrangentes periódicas na rede em um cronograma regular, enquanto outros usam agentes instalados em laptops, roteadores e outros endpoints para coletar dados em cada dispositivo. As equipes de segurança também podem usar avaliações de vulnerabilidades episódicas, como testes de penetração, para localizar vulnerabilidades que escapam de um scanner.

Categorização e Priorização

Uma vez que as vulnerabilidades são identificadas, elas são categorizadas por tipo (por exemplo, configurações incorretas de dispositivos, problemas de criptografia, exposições de dados sensíveis) e priorizadas por nível de criticidade. Esse processo fornece uma estimativa da gravidade, da explorabilidade e da probabilidade de um ataque para cada vulnerabilidade.

As soluções de gerenciamento de vulnerabilidades geralmente se baseiam em fontes de inteligência de ameaças, como o Common Vulnerability Scoring System (CVSS), um padrão aberto da indústria de cibersegurança, para classificar a criticidade de vulnerabilidades conhecidas em uma escala de 0 a 10. Outras duas fontes populares de inteligência são a lista de Vulnerabilidades e Exposições Comuns (CVEs) do MITRE e o National Vulnerability Database (NVD) do NIST.

Resolução

Uma vez que as vulnerabilidades são priorizadas, as equipes de segurança podem resolvê-las de três maneiras:

  • Remediação – abordar completamente uma vulnerabilidade para que ela não possa mais ser explorada, como instalar um patch que corrige um bug de software ou aposentar um ativo vulnerável. Muitas plataformas de gerenciamento de vulnerabilidades fornecem ferramentas de remediação, como gerenciamento de patches para downloads e testes automáticos de patches e gerenciamento de configuração para abordar configurações incorretas de rede e dispositivos a partir de um painel ou portal centralizado.
  • Mitigação – tornar uma vulnerabilidade mais difícil de ser explorada e diminuir o impacto da exploração sem removê-la completamente. Deixar um dispositivo vulnerável online, mas segmentá-lo do restante da rede, é um exemplo de mitigação. A mitigação é frequentemente realizada quando um patch ou outro meio de remediação ainda não está disponível.
  • Aceitação – optar por deixar uma vulnerabilidade sem solução. Vulnerabilidades com pontuações de criticidade baixas, que são improváveis de serem exploradas ou improváveis de causar danos significativos, geralmente são aceitas.

Reavaliação

Quando as vulnerabilidades são resolvidas, as equipes de segurança realizam uma nova avaliação de vulnerabilidades para garantir que seus esforços de mitigação ou remediação funcionaram e não introduziram novas vulnerabilidades.

Relatório

As plataformas de gerenciamento de vulnerabilidades geralmente fornecem painéis para relatórios sobre métricas como tempo médio para detecção (MTTD) e tempo médio para resposta (MTTR). Muitas soluções também mantêm bancos de dados de vulnerabilidades identificadas, o que permite às equipes de segurança acompanhar a resolução de vulnerabilidades identificadas e auditar esforços passados de gerenciamento de vulnerabilidades.

Essas capacidades de relatório permitem que as equipes de segurança estabeleçam uma linha de base para atividades contínuas de gerenciamento de vulnerabilidades e monitorem o desempenho do programa ao longo do tempo. Os relatórios também podem ser usados para compartilhar informações entre a equipe de segurança e outras equipes de TI que podem ser responsáveis pela gestão dos ativos, mas não estão diretamente envolvidas no processo de gerenciamento de vulnerabilidades.


Diante da importância crítica do gerenciamento de vulnerabilidades, é evidente que as organizações devem adotar uma abordagem proativa para proteger seus ativos de TI. A identificação, avaliação e mitigação contínuas de vulnerabilidades são essenciais para reduzir a exposição a ataques cibernéticos e garantir a integridade, confidencialidade e disponibilidade das informações. Além disso, o cumprimento das regulamentações e normas de segurança da informação é fundamental para garantir a confiança dos clientes e a reputação da organização. Em última análise, o gerenciamento eficaz de vulnerabilidades não é apenas uma prática recomendada, mas uma necessidade crítica em um ambiente digital cada vez mais complexo e ameaçador.