Com milhares de novos ataques virtuais surgindo diariamente, já faz parte da rotina das empresas mais seguras a presença de métodos que verifiquem ameaças constantemente, em um ciclo que se repete. Ou seja, essas empresas já adotaram o que se chama de gestão continuada de vulnerabilidades (GCV).
Esse processo envolve identificar, avaliar e corrigir vulnerabilidades de segurança da informação em todos os sistemas que uma empresa utiliza – englobando rede, softwares e servidores. Afinal, uma rede corporativa pode conter muitas vulnerabilidades em diferentes níveis, e o gerenciamento delas faz com que seja possível reduzir o tempo em que a empresa fica exposta a esta vulnerabilidade, minimizando as chances de exploração da mesma . Com isso, os gestores podem priorizar as correções para proteger a empresa de uma maneira eficiente e rápida, sem comprometer a operação do negócio.
De fato, um sistema de gerenciamento do tipo funciona sinalizando as vulnerabilidades mais críticas – e o ideal é que isso aconteça antes mesmo de surgirem “sintomas”. Afinal, as ameaças mais devastadoras só dão indícios de sua presença quando já causaram grandes danos. Assim, o sistema recebe informações contextuais – envolvendo dados de negócios, ameaças e risco – e gera recomendações de mitigação para as vulnerabilidades identificadas.
Portanto, um programa de gestão continuada de vulnerabilidades avalia, repara e relata os problemas de segurança o tempo todo. É assim que as empresas se tornam capazes de descobrir a existência de ameaças rapidamente sem afetar os negócios, resolvendo antes os problemas mais críticos e evitando negligenciar pontos fracos que podem se tornar grandes armadilhas futuramente.
Como o GCV funciona?
Primeiro, é preciso fazer um inventário dos ativos da empresa. A ideia é incluir todos os sistemas, desde softwares, hardwares, sistemas operacionais e serviços – lembrando que é importante anotar as versões atuais e os patches que já foram aplicados.
Tão importante quanto esse registro inicial é o ato de revisar esse inventário a cada nova atualização, seja de equipamentos ou de softwares, pois é necessário que ele reflita a realidade de maneira fiel. Outro ponto essencial é estabelecer uma linha de base de vulnerabilidades identificadas nessa etapa, pois isso servirá como referência ao detectar as novas. Assim, cria-se um ponto de comparação que guiará ações futuras.
O estágio seguinte é a classificação dos ativos. É algo que deve ser feito com base no nível de risco e importância para a empresa – ERP`s, aplicações setoriais, tais como softwares para gestão financeira e de projetos, estruturas de armazenamento de dados, devem ser priorizadas.
O motivo é que, sem eles, a operação da empresa é comprometida. Atividades rotineiras não podem ser processadas e dezenas de funcionários acabam ficando ociosos, já que suas tarefas dependem destes ativos.
Chega a hora então de atribuir pontuações a cada classe de ativo, para a continuidade do processo.
Maior ou menor exposição
O próximo passo é organizar esses ativos de acordo com o grau de exposição a vulnerabilidades específicas. Leva-se em conta então a classificação e o quão crítico cada um é, verificando quais riscos orbitam ao seu redor. É algo que pode ser reforçado através de comparações com listas públicas de vulnerabilidades e classificações de risco. Assim, identifica-se o nível de exposição de cada ativo a ameaças específicas – sistemas acessados via celular por vendedores externos, por exemplo, que em alguns momentos podem ser acessados por redes wifi públicas é um exemplo de ameaça que pode ser mapeado.
Na sequência, a ideia é criar uma estratégia de segurança de ativos com base nos riscos identificados e nos níveis de prioridade. Os profissionais devem documentar as etapas de correção necessárias para cada vulnerabilidade conhecida. Nesse contexto, para reduzir o risco geral do sistema, é necessário monitorar – e registrar – continuamente qualquer comportamento suspeito.
Por isso, vale a pena adotar uma estratégia de segurança que aborde primeiro os ativos críticos e de alto risco. Deve ser considerada a atualização de software e hardware, bem como aplicação de patches de vulnerabilidade. Se necessário, não se deve descartar a modificação de configurações de segurança e até mesmo a substituição de tecnologias.
Mas é importante reforçar que as “correções/melhorias”, não estão restritas a modificações tecnológicas. Por exemplo, pode ser identificada a necessidade de alteração de processos, ou então a necessidade de realização de um treinamento de conscientização em segurança, ou até mesmo automatizar atividades, antes feitas manualmente.
A etapa seguinte está associada ao ciclo de vida do gerenciamento de vulnerabilidades. A etapa trata da avaliação da estratégia de segurança. É quando se verifica se as medidas de segurança implementadas reduziram ou eliminaram as ameaças. É importante que sejam realizadas avaliações regulares, pois são elas que vão garantir que as melhorias se mantenham atuais com o passar do tempo.
Gestão contínua de vulnerabilidades (GCV) ou Análise de vulnerabilidades?
Não raro, surgem dúvidas sobre as semelhanças entre o GCV e a Análise de vulnerabilidades. Apesar de parecidos, funcionam de maneira distinta. Enquanto a Análise de vulnerabilidades foca na visibilidade do quadro atual, o GCV oferece informações contínuas em tempo real, incluindo relatórios e orientações para corrigir eventuais incidentes.
Assim, a avaliação é a primeira etapa em um processo de gerenciamento de vulnerabilidade. A ideia é coletar informações de dispositivos e sistemas na rede da empresa, comparando as informações com vulnerabilidades conhecidas. Basta então fazer verificações em intervalos pré-determinados, agendando atualizações e patches.
Já o GCV é um processo contínuo, com um programa constante que lida com avaliações de vulnerabilidade, priorização e correção. Esse ciclo utiliza várias fontes de dados para avaliar a situação o tempo todo, verificando diversas vezes o estado de serviço essenciais para o negócio.
Ferramentas usadas no GCV
Para examinar as redes corporativas em busca de vulnerabilidades que possam ser exploradas, existem diversas ferramentas de gerenciamento de vulnerabilidade. Elas fazem varreduras para encontrar pontos fracos, sugerindo ou já iniciando ações corretivas.
Dessa maneira, qualidade e velocidade são essenciais para as ferramentas de avaliação de vulnerabilidades. Afinal, a verificação pode levar muito tempo em grandes redes, com a possibilidade de trazer falsos positivos. O ideal então é testar os softwares e analisar quanto tempo leva para cumprir sua tarefa, comparando as descobertas encontradas com uma avaliação manual – que em tese deve ser mais lenta e menos eficaz.
Outro ponto importante é que a solução deve ser fácil de usar. Afinal, nenhuma empresa precisa de mais um sistema complicado. Além disso, os relatórios devem ser de fácil interpretação.
É importante também que o banco de dados do software seja compatível com os principais sistemas operacionais já existentes na empresa, incluindo aplicativos e componentes de infraestrutura. Como muitas organizações utilizam ferramentas em cloud computing, a ferramenta deve ser capaz de detectar vulnerabilidades também nesse ambiente.
Além disso, uma solução de gerenciamento de vulnerabilidade deve dar suporte aos padrões de conformidade que a empresa precisa atender – a exemplo da LGPD e HIPAA, bem como opções de revisão manual de vulnerabilidades e priorização automatizada. É fundamental que todas elas forneçam instruções de correção acionáveis que possam ser facilmente seguidas pelas equipes envolvidas. Afinal, ser eficiente também significa ser acessível.
Saber fazer uso efetivo das ferramentas é parte fundamental do processo de gestão continuada de vulnerabilidades em segurança da informação. Os membros do time de tecnologia, tem a atribuição de processar e tornar ainda mais legível os dados obtidos por estas ferramentas disseminando e engajando toda a organização nesta causa.
Quanto mais envolvimento horizontal, melhores serão os resultados da implementação da Gestão Continuada de vulnerabilidades.
Manter o negócio seguro deve ser compromisso de todos da empresa, não apenas uma atribuição do setor de tecnologia.
GCV fez sentido para você e para o seu negócio, mas você precisa de auxílio para implementar este processo em sua empresa? Acesse nosso site e saiba como podemos lhe auxiliar.