Connect with us

Cibersegurança

Fundamentos de Gerenciamento de Vulnerabilidades

mm
Published
Updated

Gerenciamento de vulnerabilidades é uma combinação de processos e produtos visando manter um inventário da infraestrutura digital de uma organização, procurar vulnerabilidades e remediar as fraquezas identificadas. É uma prática cíclica e o oposto do conhecido adágio de TI que diz: “Se não estiver quebrado, não conserte.” Esse princípio simplesmente não funciona na segurança empresarial nos dias de hoje. Se os ativos digitais não forem monitorados e fortalecidos continuamente, eles se tornam frutas fáceis de colher.

Um scanner não é suficiente

Ao contrário dos scanners de vulnerabilidades, o principal objetivo do gerenciamento de vulnerabilidades é endurecer a segurança da infraestrutura e fornecer resposta de emergência a algumas ameaças super-perigosas. Encontrar uma brecha no sistema é metade da batalha, mas ela deve ser corrigida para que os atores de ameaça não possam explorá-la como um ponto de entrada. Os métodos de avaliação de vulnerabilidade e priorização das questões detectadas com base na infraestrutura do cliente são igualmente importantes. Os scanners não fazem isso.

O gerenciamento de vulnerabilidades é, essencialmente, um complemento ao processo de varredura que avalia, prioriza e remedia as vulnerabilidades detectadas. As necessidades dos clientes estão mudando, enquanto o objetivo principal costumava se resumir a descobrir uma vulnerabilidade, agora é mais sobre as maneiras de abordar o problema.

Quanto aos modelos de licenciamento utilizados pelos sistemas de gerenciamento de vulnerabilidades, eles são normalmente baseados no número de endereços IP protegidos. Não importa onde eles estejam localizados ou quantas instalações o cliente exija. O custo de um scanner de vulnerabilidades, por outro lado, depende do número de instalações e parâmetros de varredura, como o número de hosts.

Além disso, existem diferentes tipos de instalações, com alguns fornecedores oferecendo uso ilimitado de seus sistemas. O preço também pode ser influenciado pelo conjunto de recursos, alguns dos quais estão disponíveis como extras pagos.

Critérios para escolher um sistema de gerenciamento de vulnerabilidades

As características mais importantes incluem o tamanho da organização, o número de suas filiais localizadas em diferentes fusos horários, bem como a localização do produto, que é a capacidade de detectar vulnerabilidades específicas de região e setor.

Um fator interessante está relacionado à forma como os departamentos de InfoSec e TI da empresa podem negociar os recursos necessários da solução. Os especialistas em InfoSec normalmente priorizam a detecção de vulnerabilidades, enquanto as equipes de TI estão principalmente focadas na implantação de patches. Portanto, a sobreposição dessas duas áreas definirá os parâmetros do sistema.

Também é importante olhar para a completude e frequência de atualizações, bem como para os sistemas operacionais que o scanner suporta. O sistema de gerenciamento de vulnerabilidades ideal também deve se encaixar no contexto do setor que a organização representa e das aplicações que está usando atualmente.

Na etapa de assinatura do contrato, o fornecedor pode garantir ao cliente que está preparado para adicionar novos produtos e recursos ao longo do caminho. Infelizmente, alguns provedores não sempre cumprem esses compromissos. Portanto, é melhor se concentrar na funcionalidade disponível da solução.

Um recurso útil de qualquer sistema de gerenciamento de vulnerabilidades é a capacidade de enriquecer o próprio banco de dados de vulnerabilidades com informações de fontes terceiras. É ótimo se a solução também puder fornecer um exemplo de uma exploração que se aproveita de uma vulnerabilidade específica.

A maioria dos clientes se depara com um dilema clássico: usar um scanner gratuito ou comprar uma solução comercial desde o início. Manter um banco de dados de vulnerabilidades atualizado é um processo tedioso e caro. Portanto, no caso de um produto gratuito, a equipe de desenvolvimento pode ter que priorizar outras áreas de sua atividade em busca de fontes de renda alternativas, o que explica por que esses scanners têm algumas limitações.

Ferramentas sob a égide do gerenciamento de vulnerabilidades

O conjunto de soluções necessárias para organizar o processo de gerenciamento de vulnerabilidades dentro de uma empresa pode incluir:

  •       Diferentes instrumentos para coletar informações sobre vulnerabilidades, como scanners, ferramentas para processar dados de fontes terceiras e repositórios de informações obtidas independentemente por especialistas em InfoSec.
  •       Ferramentas de priorização de vulnerabilidades que definem pontuações CVSS e avaliam o valor do ativo potencialmente afetado pela falha.
  •       Ferramentas para interagir com bancos de dados externos.
  •       Sistemas que lidam com uma vulnerabilidade no contexto da organização, sua infraestrutura e a superfície de ataque global.

Gerenciamento de ativos e patches automáticos

O processo de gerenciamento de ativos deve ter um grau máximo de automação, abranger toda a infraestrutura da organização e ocorrer regularmente. É impossível priorizar vulnerabilidades a menos que essas condições sejam atendidas. Além disso, não há como controlar a infraestrutura de TI de uma organização sem saber exatamente do que ela é composta. Portanto, o gerenciamento de ativos é uma parte extremamente importante do gerenciamento de vulnerabilidades.

O principal pré-requisito para automatizar o processo de gerenciamento de patches é atribuir um identificador específico a cada assinatura de vulnerabilidade e garantir que a próxima atualização aborde isso. É um fluxo de trabalho complexo com muitas armadilhas. As consequências de pular uma única atualização podem ser desastrosas, portanto, a implantação de patches deve ser tão bem orquestrada quanto possível.

Também é importante ajustar patches automáticos a uma área de aplicação específica. Para estações de trabalho, é aceitável restringir as atualizações ao sistema operacional e software básico, como navegadores e aplicativos de escritório. No caso de servidores, as coisas são mais complicadas, pois há muito em jogo e uma atualização com bugs pode afetar a disponibilidade de recursos de TI críticos para os negócios.

Quando se trata de monitorar a infraestrutura empresarial, a maioria das empresas prefere a varredura sobre a instalação de agentes em pontos de extremidade, pois eles muitas vezes se tornam pontos de entrada de malware. No entanto, se o host não puder ser alcançado de nenhuma outra forma, é necessário usar aplicativos de coleta de dados.

Como mencionado anteriormente, a interação sem problemas entre os departamentos de InfoSec e TI faz uma diferença. As duas equipes devem concordar com políticas que especifiquem quem é responsável por instalar atualizações para certos recursos e com que frequência isso ocorrerá. Essencialmente, o processo de gerenciamento de vulnerabilidades deve se resumir a monitorar a conformidade com esses acordos e instalar patches urgentes.

O que o futuro reserva para os sistemas de gerenciamento de vulnerabilidades?

Neste ponto, há uma tendência distinta em direção à automação crescente do monitoramento de ativos e implantação de patches. À medida que as infraestruturas empresariais continuam a migrar para a nuvem, é dentro do possível que o processo de varredura de vulnerabilidades seja reduzido a verificar as configurações de segurança da nuvem. Outro vetor evolutivo se resume a melhorar os sistemas de avaliação de vulnerabilidades. As ferramentas de priorização de vulnerabilidades incluirão mais dados, especialmente sobre as vulnerabilidades mais “exploráveis”.

Há também uma boa chance de que esses sistemas mudem para uma lógica all-in-one nos próximos anos, onde uma única solução fornece um espectro completo de instrumentos de gerenciamento de InfoSec. O surgimento de uma plataforma abrangente que inclui capacidades de gerenciamento de vulnerabilidades, gerenciamento de ativos e gerenciamento de riscos, juntamente com outros recursos de proteção, é bastante provável. Talvez haja um console de gerenciamento de vulnerabilidades de um só lugar para todos os elementos da infraestrutura digital – desde um servidor ou impressora até um contêiner em um host dedicado.

Related Topics:
mm

David Balaban é um pesquisador de segurança computacional com mais de 17 anos de experiência em análise de malware e avaliação de software antivírus. David gerencia os projetos MacSecurity.net e Privacy-PC.com que apresentam opiniões especializadas sobre questões de segurança de informação contemporâneas, incluindo engenharia social, malware, testes de penetração, inteligência de ameaças, privacidade online e hacking de chapéu branco. David tem uma forte formação em solução de problemas de malware, com um foco recente em contramedidas de ransomware.