Quando falamos em pontuação de risco dos ativos, analisamos a probabilidade e impacto de algo inesperado acontecer relacionado a um ativo.
Ao criar a pontuação de risco dos ativos implementado ao contexto do negócio, podemos ter uma gestão de priorização, visando qual ativo é mais ou menos crítico para organização caso ocorra um incidente de segurança.
Com esta pontuação e gestão coerente, pode-se realizar tomadas de decisão com confiança, devido à pontuação e disponibilidade de informação.
O GAT Core se diferencia da maioria das demais soluções, permitindo a visão e o gerenciamento da segurança de diversos tipos de Ativos. Atualmente, o GAT Core trabalha com os seguintes tipos de Ativos:
- Infra/Host (baseado no endereço IP)
- Aplicação Web (baseado na URL)
- Pessoa (baseado no endereço de e-mail)
- Empresa (minha empresa ou fornecedores)
- Processo (processos internos ou externos)
- Nuvem/Cloud (instâncias em nuvem)
- Outros (abordagem flexível para lidar com a variedade de ativos de informação)
Cada Ativo, independente do seu tipo, possui uma severidade, de Informativo a Crítico. Essa severidade é definida pelo próprio usuário e varia conforme o ambiente e regras de negócio.
Além disso, pode-se juntar os ativos (inclusive de diferentes tipos) em Grupos de Ativos. Cada Grupo de Ativos também terá uma severidade, definida conforme as necessidades do ambiente do usuário.
Pontuação de Risco dos Ativos #
O GAT Core não se limita apenas em contar a quantidade de apontamentos que cada ativo possui, vai além e calcula, para cada ativo, independentemente de seu tipo, um score do risco que ele representa para a organização.
Esse score, ou pontuação de risco, é calculado com base nos apontamentos (e suas respectivas severidades) e a severidade do próprio ativo em questão.
A fórmula para esse cálculo divide-se em duas etapas.
Primeiro cálculo:
\[ x = (critical * 0,01 + high * 0,007 + medium * 0,003 + low * 0,001) * sa \]
Sendo que:
- (sa): severidade do Ativo
- Critical – 20
- High – 3
- Medium – 1,5
- Low – 1,1
- Informative – 0,5
- (critical): quantidade de apontamentos críticos
- (high): quantidade de apontamentos altos
- (medium): quantidade de apontamentos médios
- (low): quantidade de apontamentos baixos
- (informative): quantidade de apontamentos informativos
Segundo cálculo:
\[score = (x / sqrt(1 + x^2)) * 1000 \]
Dessa forma, o score de cada Ativo sempre irá variar entre 0 e 1000. Além disso, é possível perceber que os Apontamentos Informativos não contam para o cálculo desse score.
Exemplo #
Suponhamos o seguinte cenário:
- Ativo 196.168.101.22 com severidade alta
- 9 apontamentos críticos
- 12 apontamentos altos
- 0 apontamentos médios
- 29 apontamentos baixos
- 13 apontamentos informativos
A pontuação de risco desse Ativo, então, seria:
\[ x = (0,01 * 9 + 0,007 * 12 + 0,003 * 0 + 0,001 * 29) * 3 = 0,609 \]
\[ score = (0,609 / sqrt(1 + 0,609^2)) * 1000 = 520,14 \]
Ou seja, o score desse Ativo será 520.
Pontuação de Risco dos Grupos de Ativos #
A pontuação de risco dos Grupos de Ativos funciona semelhantemente. Sua fórmula também é dividida em duas etapas, porém baseia-se nos scores já calculados de seus membros.
A primeira etapa do cálculo é:
\[ x = sum( sa ) * sg \]
Sendo que:
- (sg): severidade do Grupo de Ativos
- Critical – 0.00015
- High – 0.000075
- Medium – 0.000035
- Low – 0.000015
- Informative – 0.0000055
- (sa): severidade de cada Ativo que faz parte do grupo
A segunda etapa do cálculo é:
\[ score = (x / sqrt(1 + x^2)) * 1000 \]
Exemplo #
Neste cenário, suponhamos o seguinte:
- Grupo de Ativos DMZ com severidade Alta, composto pelos seguintes ativos:
- Ativo 192.168.101.22 com pontuação de 350
- Ativo https://minhaempresa.com.br com pontuação de 120
- Ativo [email protected] com pontuação de 43
Assim, a pontuação do Grupo de Ativos DMZ seria:
\[ (350 + 120 + 43) * 0,000075 = 0,038475 \]
\[ score = (0,038475 / sqrt(1 +0,038475^2)) * 1000 = 153,41 \]
Assim, o score desse grupo será igual a 153.
Conclusão #
Dessa forma, o GAT Core consegue mapear e mostrar os Ativos e Grupos que precisam de maior atenção a qualquer momento (já que esses cálculos são efetuados em real-time). Isso ajuda as equipes priorizarem o trabalho de correção, focando nos ativos e apontamentos que trazem um maior risco para o negócio.
Veja o exemplo abaixo:
Percebemos que o ativo CEO possui apenas 2 apontamentos, mas que totalizam uma pontuação de 387.
Por outro lado, o ativo 192.16.2.24 possui 331 (!!!) apontamentos, totalizando um score de apenas 33 (mais que 10 vezes menos que o outro ativo).
Fica claro que é muito mais vantajoso corrigir os 2 apontamentos associados ao CEO do que os 331 apontamentos associados à 192.16.2.24, uma vez que isso reduzirá mais de dez vezes o risco!