O que é a gestão de vulnerabilidades?
A cada ano, milhares de novas vulnerabilidades são descobertas, o que faz com que as organizações tenham de corrigir e configurar sistemas e aplicativos em ambientes digitais para proteger os seus ativos contra possíveis incidentes de segurança. Para abordar de forma proativa essas falhas de segurança, antes que elas sejam exploradas por atacantes, as organizações devem ter uma gestão de vulnerabilidades (GV) contínua e com base em risco a fim de obter os mais altos níveis de segurança e de redução de riscos.
De forma geral, a GV pode ser descrita como o processo contínuo de identificação, classificação, priorização e remediação de vulnerabilidades de segurança em sistemas, aplicativos e redes de uma empresa.
Muito além da remediação – é importante ressaltar que a gestão de vulnerabilidades não se limita ao ato de remediar falhas e resolver configurações inseguras. Trata-se de uma prática que requer um mindset organizacional e estratégico dentro da área de TI, visto que novas falhas são descobertas diariamente, o que exige uma abordagem adequada e visão de negócio para a resolvê-las e evitar possíveis ataques cibernéticos.
O que é uma vulnerabilidade?
Considera-se uma vulnerabilidade de segurança qualquer meio pelo qual um agente de ameaças pode obter acesso não autorizado ou controle privilegiado a uma aplicação, rede, sistema, serviço, endpoint ou servidor. Exemplos tangíveis incluem portas de comunicação abertas à Internet, má configuração de software ou sistemas operacionais, entre outros.
O processo de gestão de vulnerabilidades
Toda nova vulnerabilidade introduz novos riscos à organização. Sendo assim, recorre-se a um processo definido de GV como uma forma de identificar e tratar as falhas de segurança de forma rápida, eficiente e contínua. Pode-se dizer que esse processo é, de maneira geral, composto por 6 etapas, cada uma com seus próprios subprocessos e tarefas.
- Identificação: É impossível proteger aquilo que você não conhece.
A primeira etapa envolve fazer um inventário de todos os ativos e ambientes, de maneira detalhada e com especificidades para identificar vulnerabilidades. Inclui um cronograma de varreduras de rede e sistema que devem ser realizadas regularmente. - Priorização: Depois da identificação, os ativos e ambientes precisam ser categorizados e atribuída uma priorização com base em risco e criticidade para o negócio.
- Avaliação: A terceira etapa é estabelecer uma linha de base de risco, para acompanhar a evolução da redução de risco e aumento do nível de segurança de maneira contínua ao longo do tempo.
- Remediação: Com a priorização baseada em risco para o negócio, as vulnerabilidades são corrigidas e os controles devem estar em vigor para que a correção seja concluída com sucesso e o progresso possa ser documentado.
- Verificação: Nesta etapa, a validação da remediação é realizada através de varreduras adicionais e/ou revisões técnicas.
- Relatório: Por fim, a área técnica e executiva devem compreender o estado de segurança e nível de risco atual. A TI precisa de relatórios técnicos, táticos e comparativos das as vulnerabilidades identificadas e corrigidas, os executivos precisam de um resumo do estado atual de segurança, da evolução ao longo do tempo e nível de risco (com indicadores de nível e de redução de riscos) com visão de negócio.
Programas robustos de gestão de vulnerabilidades compreendem cada etapa (e quaisquer subetapas) como um ciclo de vida contínuo destinado a melhorar a segurança e reduzir o risco organizacional existente, sendo assim um processo diário e não trimestral ou anual.
