10 Passos para a Gestão de Vulnerabilidades

Gestão de vulnerabilidades é um conjunto de processos e estratégias de defesa contra riscos e ameaças, que tem como objetivo final garantir a segurança dos dados de quem implementa tais ações. Com o avanço das inovações tecnológicas e da conectividade global, os desafios na área aumentaram, pois o número de vulnerabilidades em sistemas acompanhou o crescimento da superfície de ataque, formada pelo conjunto dos dispositivos cibernéticos expostos à Internet pública.

Nesse cenário, não basta corrigir brechas pontuais ou apenas remediar um problema específico: é preciso reduzir o nível geral de risco, prevenindo os possíveis ataques a softwares, computadores e redes, evitando incidentes que possam ocasionar vazamentos de dados, acessos não autorizados ou outros incidentes que podem trazer grandes prejuízos para as organizações.

Cenário

Hoje, mais do que nunca, nossos softwares, redes e dispositivos estão superexpostos, com inúmeros riscos envolvidos e possíveis consequências negativas, que vão desde vazamentos de dados e multas até a interrupção permanente das atividades de uma organização. Já nos habituamos a ver notícias de grandes empresas que sofreram incidentes com grandes consequências, mas nunca saberemos qual será a próxima vítima de algum ataque cibernético.

Antes de adotar ferramentas e processos avançados para a proteção de dados, é muito comum que organizações de todos os portes tentem garantir a segurança das tecnologias utilizadas na operação por meio da adoção de proteções básicas, tais como:

• Backup;
• Firewall;
• Antivírus;
• Antimalware;
• VPN (sempre que possível e aplicável);
• Duplo fator de autenticação (2FA);
• Gerenciamento de identidade de acesso (IAM);
• Configuração segura de sistemas e dispositivos;
• Gerenciamento de patches;
• Controles de mídia removível;
• Controles de acesso remoto.

Apesar de essenciais, dado o cenário atual, estas medidas de proteção não são capazes de mitigar riscos e falhas em ativos críticos da mesma forma que um programa de gerenciamento de vulnerabilidades baseado em riscos (RBVM – Risk Based Vulnerability Management), pois este se preocupa em identificar vulnerabilidades que, muitas vezes, não são detectadas por tais ferramentas e processos.

O que é RBVM

O gerenciamento de vulnerabilidades baseado em risco (RBVM – Risk Based Vulnerability Management) é uma estratégia que prioriza o gerenciamento de vulnerabilidades de acordo com o risco que elas representam para uma organização. Além de permitir que as equipes de segurança conheçam as vulnerabilidades presentes nos sistemas que gerenciam, como no gerenciamento de vulnerabilidades tradicional, leva em consideração a natureza mutável do risco com ameaças emergentes e mede o risco a partir de uma perspectiva mais abrangente.

Um bom plano de RBVM deve gerenciar as vulnerabilidades desde a identificação até a correção. Para isso, requer a identificação de toda a sua superfície de ataque exposta (que pode incluir até ativos desconhecidos), fornecendo visibilidade total para uma perspectiva precisa dos riscos aos seus ativos, além de reunir diversas soluções de segurança, garantindo que as equipes estejam alinhadas e atualizadas para manter o foco nos riscos de maior criticidade.

As organizações que implementam programas de RBVM conseguem evitar cerca de 80% das violações às quais, normalmente, estariam expostas.

Gartner

Por tratar-se de uma estratégia em constante evolução, monitora os ativos conectados e riscos associados em tempo real, além de olhar para ameaças externas que podem representar novos riscos. A prática permite uma melhor identificação das prioridades, permitindo que as equipes sejam mais eficientes ao reduzir o número de ataques por meio da correção das vulnerabilidades de maior criticidade. Assim, evita que certos riscos sejam ignorados enquanto a equipe de segurança foca em correções de vulnerabilidades que podem não ser de interesse dos invasores.

Contexto e Criticidade

Só porque um ativo é fácil de acessar não significa que seja valioso para os invasores. Para entender o risco real, é necessário analisar a ameaça a partir da perspectiva de um invasor. É essencial adotar uma postura preventiva e definir mecanismos de monitoramento e avaliação constante, a fim de garantir que a operação esteja sempre pronta para se adaptar e estar à frente das ameaças, que estão evoluindo a cada dia.

O RBVM analisa as vulnerabilidades identificadas e as ameaças externas, com base no contexto de negócio e nos riscos que essas ameaças trazem à operação. Isso significa acompanhar, constantemente, os dados mais recentes sobre os alvos dos invasores e as técnicas de ataque, tomando medidas para abordar primeiro as vulnerabilidades que representam maior risco.

Os 10 Passos

Listamos abaixo alguns passos que consideramos básicos para uma correta implementação de um programa de gerenciamento de vulnerabilidades baseado em riscos. Confira:

01. Conheça a Superfície de Ataque e Entenda as Ameaças

O primeiro passo para proteger uma organização contra ataques cibernéticos é conhecer o nível de exposição de seus ativos digitais à Internet pública, bem como os riscos causados por essa exposição. Uma vez identificados os ativos e as vulnerabilidades presentes (sistemas inseguros ou desatualizados, falhas de configuração, vazamentos de dados e outros), é possível concentrar os esforços para mitigar os riscos associados, eliminando os principais vetores de ataque. É essencial entender como um sistema pode ser atacado para conseguir responder às ameaças mais prováveis e, para isso, é essencial avaliar o nível de segurança de acordo com a postura de um agente externo.

02. Defina Práticas de Governança

É preciso familiarizar-se com os processos críticos ao negócio e obter suporte da alta direção, a fim de definir um programa de segurança cibernética abrangente e robusto, focando na proteção de dados e na gestão do risco de terceiros que têm acesso a eles. Isso permite definir processos, funções e responsabilidades, de acordo com sua estratégia, desenvolvendo políticas e definindo padrões que devem ser seguidos por todos dentro da empresa e por aqueles que se relacionam com ela (parceiros, fornecedores etc.).

03. Classifique e Avalie os Ativos por Criticidade e Risco

Para definir as prioridades da equipe de segurança, é preciso identificar quais ações devem ser tomadas, e em que ordem, para diminuir possíveis efeitos de um incidente sobre a operação. Além de entender os objetivos da organização, é necessário mapear e classificar os ativos a fim de prover suporte a pessoas, processos, tecnologia e infraestrutura de dados, classificando-os de acordo com seu nível de criticidade e risco oferecido para a operação. É necessário incluir, também, os terceiros na cadeia de suprimentos em que a organização opera, tanto os que fornecem a sua operação quanto aqueles para os quais ela fornece, levando em consideração o impacto da superfície de ataque destes terceiros e o nível de risco que isso representa.

04. Automatize Processos Para uma Gestão Estruturada

O excesso de ofertas de ferramentas, geralmente difíceis de operar, não ajuda muito, e é aí que entra a automação. Seu uso tem se mostrado uma solução muito eficiente, diminuindo custos e aumentando a eficiência das equipes, ao mesmo tempo em que agiliza os processos e reduz a janela de exposição a riscos e vulnerabilidades.

Seja para gestão de vulnerabilidades, análise de risco de terceiros, benchmark de fornecedores, due-diligence cibernética ou para gestão de sua própria superfície de ataque, entre outros, uma boa solução com alto nível de automação como, por exemplo, o GAT Core, pode ser a chave para processos mais eficientes, rápidos e econômicos. Em uma pesquisa realizada com nossos clientes, muitos relataram ter alcançado uma economia de mais de 50% com estrutura e equipe, diminuindo o tempo de exposição em até 90% por meio do uso da plataforma.

05. Defina seu Apetite de Risco

É necessário entender o quanto os ataques cibernéticos mais prováveis ​​podem custar à operação por meio da quantificação do risco cibernético, juntamente com uma estrutura de gerenciamento do risco cibernético que deve fazer parte de seus processos de gerenciamento de risco operacional. Com isso é possível definir o apetite de risco e os mecanismos de avaliação para garantir que a organização opere dentro dos limites aceitáveis.

06. Seja Capaz de Detectar e Evitar um Ataque

Uma postura preventiva é sempre a melhor opção, e, para isso, é preciso estabelecer processos que ajudem a detectar vulnerabilidades e ataques, por meio do monitoramento contínuo de ativos e processos em vários níveis dentro da operação. Isto varia muito de acordo com o porte da organização, podendo variar desde um sistema básico, pelo qual um alerta é gerado e enviado por e-mail quando uma atividade suspeita é detectada, até um centro de operações de segurança que monitore continuamente redes, sistemas operacionais, aplicativos e usuários.

07. Adote uma Abordagem de Resiliência

Sabemos que nenhum sistema está 100% seguro, então é necessário saber que incidentes podem acontecer a qualquer momento. Neste cenário, é preciso garantir que as organizações estejam sempre preparadas para o pior, estabelecendo processos e definindo uma equipe de gerenciamento de incidentes cibernéticos devidamente treinada, que esteja seguindo um plano documentado e testado anualmente. Esta equipe deve estabelecer planos de recuperação para todos os processos e tecnologias de suporte, de acordo com sua criticidade para a operação. Isso inclui definir planos de contingência e de recuperação para todos os processos e tecnologias de suporte, de acordo com sua criticidade para a operação.

08. Implemente Proteções Avançadas

É muito importante amadurecer processos e otimizar os recursos existentes. Muitos processos de gestão de vulnerabilidades podem ser automatizados usando tecnologia especializada e plataformas centralizadoras podem ser utilizadas para implementar recursos e tecnologias complementares, reunindo informações de diversas fontes tais como scanners de vulnerabilidade, sistemas de detecção de intrusão (IPS – Intrusion Prevention System), ferramentas de detecção de intrusão em aplicações web (WAF – Web Application Firewall) e sistemas de prevenção de perda de dados (DLP – Data Loss Prevention), entre outros.

09. Crie um Ciclo de Melhoria contínua e Testes Recorrentes

Reflita sobre todas as áreas de seu programa de gerenciamento de risco cibernético e identifique áreas para melhoria contínua, repetindo avaliações de risco regularmente e considerando a conformidade com os padrões relevantes. Realize exercícios de simulação de incidente cibernético para testar a capacidade de sua equipe de gerenciar a resposta a um ataque cibernético significativo. Realize um exercício inicial com o Red Team (essencialmente um ataque planejado, realizado por hackers éticos profissionais) para testar sua capacidade técnica de detectar e responder a ataques sofisticados.

10. Invista em Educação e Conscientização

O risco de fator humano é, geralmente, o elo mais fraco na corrente e, por isso, equipes bem treinadas oferecem menos risco a qualquer organização. É essencial estabelecer um programa de educação e conscientização, garantindo que todos os colaboradores e terceiros possam identificar riscos, vulnerabilidades e ataques cibernéticos, estando cientes do papel que desempenham na defesa contra agentes mal intencionados.

Automação como Aliada

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre projetos. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação, como o GAT Core. 

Por meio de integrações nativas, é possível importar informações vindas das principais ferramentas de varredura disponíveis no mercado, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão.

O GAT Core possui integração nativa com as principais ferramentas de Segurança da Informação no mercado, além de trazer a bordo os principais checklists de conformidade em cibersegurança e proteção de dados como CIS Controls, NIST, OWASP ASVS, ISO 27701, LGPD e outros, facilitando os processos e gerando economia significativa de custos. Para entender como funciona, agende uma demonstração gratuita para obter uma visão integrada da gestão dos processos de conformidade. Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas.

Orquestração em Plataformas Integradas

Um dos objetivos com o uso de uma plataforma centralizadora é concentrar a operação e gestão de Segurança da Informação em um só lugarPor outro lado, sabemos que grandes empresas têm diversas áreas que trabalham com suas próprias ferramentas de gestão, monitoramento, análise e coleta de dados em geral. Desde a correção de vulnerabilidades na infraestrutura até ferramentas de Service Desk (ou ticket) para receber chamados e atuar sobre os mesmos, são inúmeras as ferramentas focadas em Segurança da Informação.

Com isso em mente, desenvolvemos uma série de integrações e conectores nativos para auxiliar na missão de obter real visibilidade dos riscos e ameaças, criando integrações entre produtos de fabricantes distintos e com as mais variadas funcionalidades. O objetivo é criar uma base de dados centralizada, onde toda a gestão de Segurança da Informação é realizada a partir da visão propiciada por tais integrações, a partir do momento em que trazem para uma única plataforma todas as informações vindas de fontes diferentes e com diversos enfoques aderentes ao contexto de negócio.

Diversas ferramentas de terceiros, como Burp, Qualys, OpenVAS, Arachni, Have I Been Pwned? e outras também podem ser integradas com a plataforma, fazendo do GAT Core uma excelente opção para a centralização de dados e gestão de Segurança da Informação.