Para iniciarmos nossa conversa, o que é considerada uma vulnerabilidade de segurança? Vulnerabilidade é uma fraqueza, falha ou erro encontrado em um sistema, um processo, em uma rede, um protocolo de comunicação, um tipo de criptografia, entre outros, que se combinado a um ativo e uma ameaça, se torna um risco.

Vale ressaltar que não existe risco zero, toda organização possuí riscos, sejam eles grandes ou pequenos, cabendo a organização gerenciar quais estão dispostos a ter para alcançar os seus objetivos.

O processo de gestão de vulnerabilidade trabalha para revelar esses riscos e apoiar a organização a medi-los e analisá-los. Abaixo listamos algumas práticas para um bom gerenciamento de risco:

  • Corrigir: Quando identificamos um risco por exemplo, no sistema operacional, o fabricante lança uma atualização, também conhecida como patch, para corrigir aquele risco específico;
  • Mitigar: Em alguns cenários o risco foi identificado em algum serviço, mas o fabricante ainda não conseguiu lançar uma atualização para corrigir, então ele envia uma nota informando como realizar uma mitigação daquele risco, por exemplo, desabilitando o serviço vulnerável ou ativando uma função adicional;
  • Aceitar: Podemos aceitar um risco identificado por diversos motivos, desde a falta de redundância de links de internet devido ao custo, até mesmo a utilização de um sistema legado por ser algo vital para o funcionamento do negócio, vale ressaltar que a organização deve estar ciente e de preferência ter uma carta de aceite de risco;
  • Transferir: Vale a pena gastar R$100.000,00 para proteger algo que vale R$60.000,00? Para não trabalhar com esses custos adicionais, hoje existem empresas que trabalham com seguro, onde a organização transfere o risco para um terceiro; e
  • Evitar: Podemos simplesmente evitar o risco em nosso ambiente removendo-o, por exemplo, identificado um sistema operacional legado no ambiente, podemos simplesmente removê-lo adicionando um sistema operacional novo e com suporte.

 

3 Maiores preocupações

Quando estamos gerenciando vulnerabilidades e riscos temos três maiores preocupações, sendo elas:

  • Confidencialidade: A maioria dos sistemas de informação contém arquivos que possuem, mesmo que mínimo, um grau de sensibilidade e as medidas de confidencialidade protegem as informações contra acesso não autorizado e uso indevido.
  • Disponibilidade: Para que um sistema de informação seja útil, ele deve estar disponível para usuários autorizados. As medidas de disponibilidade protegem o acesso oportuno e ininterrupto ao sistema.
  • Integridade: As medidas de integridade protegem as informações de alterações não autorizadas. Essas medidas fornecem garantia da precisão e integridade dos dados.

 

O que é essencial para que a gestão de vulnerabilidade funcione?

O primeiro passo deve ser a estruturação um plano. Veja abaixo um plano básico que recomendamos:

  • Descoberta: A fase inicial visa selecionar os dispositivos e serviços que serão partes do plano para identificação das vulnerabilidades;
  • Avaliação: Esta fase visa garantir que todos os dispositivos e serviços selecionados foram analisados com sucesso e sem nenhum erro;
  • Reportar: Fase responsável por compilar todas as informações coletadas em um relatório para as áreas responsáveis dando detalhes das vulnerabilidades encontradas e como priorizar a remediação;
  • Remediar: Criar uma requisição de mudança, gerenciar todas as exceções, criar um backup e aplicar a remediação; e
  • Verificar: Validar se os dispositivos e serviços que tiveram remediações aplicadas estão funcionando normalmente, criar um relatório de lições aprendidas de como tratar aquelas vulnerabilidades e exceções especificas,
  • Validar: Última fase, será checar se a vulnerabilidade foi de fato corrigida reiniciando todo o processo a partir da fase de descoberta.

Além de ter um plano bem estruturado, é necessário que alguns outros pontos atendidos: Vejamos:

  • Scanner de vulnerabilidade: é necessário para automatizar o processo de descoberta de vulnerabilidades, além de te apontar a falha, apontam também como corrigir;
  • Período permitido para busca de vulnerabilidades: ao utilizar um scanner automático, pode gerar lentidão e as vezes até indisponibilidade no ambiente, tendo em vista o envio de diversos comandos e diversas requisições ao sistema ou serviço testado, sendo assim deve-se ter alinhado diversas janelas para realização da varredura em busca de vulnerabilidades;
  • Regras de conformidades: Como sabemos, existem diversas normativas que alguns tipos de negócios devem seguir, por exemplo, a HIPPA para o segmento de saúde;
  • Comprometimento da equipe: É necessário que todos estejam focados em resolver os problemas de vulnerabilidade para que tenhamos sucesso nesse processo;
  • Boa comunicação entre as áreas: Precisamos de boa comunicação entre as áreas para que não ocorram incidentes ou indisponibilidades devido à falta de comunicação; e
  • Apoio do time executivo: É necessário o apoio dos executivos da organização para que todo o processo de gestão de vulnerabilidade seja um sucesso.

 

Melhor cenário possível em gestão de vulnerabilidade

Tendo em vista o elucidado acima, abaixo apontamos um cenário que seria o ápice em uma organização, seria ele:

  • Todas as atualizações críticas instaladas dentro de um período pré-estabelecido;
  • Todas as vulnerabilidades sendo detectadas de maneira proativa;
  • Todas as correções aplicadas documentadas em detalhes;
  • Todas as atualizações testadas antes de aplicar em larga escala na produção;
  • Ter backup dos ativos mais críticos para organização;
  • Realizar testes manuais e automáticos para validar as correções; e
  • Ter o menor número de falsos positivos possíveis.

A segurança do seu negócio vale muito, não é mesmo? Que tal continuar a jornada de conhecimento para proteger sua empresa de ameaças e muito mais? Entre em contato conosco ou siga a PDG IT no Instagram e Linkedin.