Os ciberataques são uma realidade, e os casos de ataques vêm se tornando crescentes. Basta enumerar o número de e-mails de phishing que os funcionários de sua empresa recebem. Por isso, é impossível falar em segurança sem implementar uma gestão de vulnerabilidades completa e eficiente.
Segundo levantamento realizado pela McAfee, o prejuízo causado pelos cibercrimes e invasões a sistemas corporativos ultrapassou a casa de US $1 trilhão. É urgente entender as formas de ataque e as alternativas de proteção, para realizar uma gestão eficaz e fechar as portas à entrada de qualquer invasor.
Vamos falar mais a respeito?
O que é gestão de vulnerabilidade?
O conceito é claro, mas precisamos assimilar a realidade de que é impossível manter um ambiente totalmente seguro contra qualquer tipo de ameaça. Sempre haverá algum calcanhar de Aquiles.
Nesse cenário, podemos dizer que a gestão de vulnerabilidades é o conjunto de cuidados para controlar e mitigar os riscos, protegendo e assegurando a empresa como um todo.
São ações preventivas que antecipam a empresa aos problemas por meio da identificação, análise, classificação e tratamento das vulnerabilidades. Na prática, é realizada pela correção das fraquezas, aplicando-se controles e minimizando os impactos no ambiente, de forma contínua e com acompanhamento minucioso, com base em uma tomada de decisão proativa.
Isso significa que são feitas avaliações periódicas, de forma repetida, de modo a determinar, por comparação, quais mudanças aconteceram desde a última verificação. Então, a gestão avalia se houve progresso e mensura os riscos da empresa.
Qual a função da gestão de vulnerabilidades?
Esse processo tem como objetivos detectar e corrigir quaisquer falhas que podem incorrer em riscos de segurança, funcionamento ou desempenho para a empresa. Também é papel da gestão de vulnerabilidades alterar as configurações dos programas, para que fiquem mais eficientes, implantar, atualizar e melhorar continuamente os mecanismos de segurança.
Que fique claro que a análise ou scan de vulnerabilidades não são a gestão, mas ferramentas que fazem parte dela e servem para identificar fraquezas, exclusivamente no que diz respeito às falhas de segurança de softwares e hardwares.
Qual a diferença entre vulnerabilidade, risco e ameaça?
Uma vulnerabilidade, conforme definido pela Organização Internacional de Padronização na ISO 27002, é “uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças”.
Já a ameaça é algo que pode explorar uma vulnerabilidade, e o risco é o dano que pode ser causado pela vulnerabilidade aberta, quando explorada por uma ameaça.
Quais vulnerabilidades afetam uma empresa?
As vulnerabilidades acontecem durante a elaboração, implantação, configuração ou operação de um ativo ou controle. Elas podem ser geradas nas empresas por diferentes motivos e fontes. Confira algumas das mais comuns a seguir.
Físicas e naturais
Vulnerabilidades físicas dizem respeito ao ambiente da empresa e incluem itens como instalações do prédio, controles de acesso, segurança de armazenamento de documentos etc. Já as naturais são aquelas relativas a desastres como incêndios, quedas de energia, alagamentos e outras, que pedem planos de contingência.
Erros humanos
Boa parte das vulnerabilidades em uma empresa vêm, muitas vezes, de falhas humanas por desatenção, desconhecimento ou, pior, causadas propositalmente. Alguns usuários executam arquivos maliciosos que abrem as portas para invasores, causando perda de informações.
Para evitar esse problema, é preciso investir em treinamentos, regras claras de procedimentos, políticas de segurança e sanções para os descumprimentos de normas.
Mídias digitais
Pendrives, HDs externos, celulares e afins podem ser veículos para arquivos maliciosos, comprometendo a integridade, disponibilidade e confiabilidade da rede e dos sistemas internos. Da mesma forma da tratativa dada aos erros humanos, a criação de regras e os treinamentos são a melhor forma de coibir esse problema.
Programas desatualizados ou pirateados
Softwares recebem atualizações frequentes para melhorar sua segurança. Quando estão desatualizados ou são instalados com licenciamento irregular expõem a empresa a vulnerabilidades desnecessárias. Por isso, todos os programas de uma empresa devem estar atualizados e protegidos.
Estrutura e configuração
Além dos programas, a infraestrutura da rede e os hardwares também devem estar corretamente configurados e protegidos com firewall, antivírus e backup, e precisam ser operados por equipes preparadas para gerir a estrutura da rede e controlar os acessos dos usuários.
Quais os benefícios da gestão de vulnerabilidades?
Recentemente, a Microsoft divulgou dados que mostram crescimento de 30% nos ataques por ransomware, que resultaram em prejuízo de mais de R$ 32,4 milhões, somente no Brasil. A gestão de vulnerabilidades evita que uma empresa perca dados valiosos e exponha seus clientes a riscos. Além disso, tem inúmeros outros benefícios. Confira a seguir.
Controle de segurança maior
A implementação contínua da gestão de vulnerabilidades reduz problemas com recebimento de spam, ataques de vírus, malwares e ransomwares, trazendo mais segurança organizacional.
Melhor utilização de tempo e recursos
O conhecimento prévio e correção das fraquezas reduz a chance de ataques e cibercrimes que trariam prejuízos, paralisações e desgastes junto aos clientes e ao mercado como um todo.
Maior competitividade
A garantia de segurança é um diferencial perante os clientes, que se preocupam com a possibilidade de exposição de suas informações estratégicas e com a própria perda de dados, sobretudo desde a criação da Lei Geral de Proteção de Dados (LGPD) que regulamenta o uso, proteção e tratamento dos dados pessoais no Brasil.
Como as vulnerabilidades são classificadas e categorizadas?
O Common Vulnerability Scoring System (CVSS) é um sistema de pontuação de vulnerabilidades que a CrowdStrike e diversas outras companhias de cibersegurança utilizam para avaliar o grau e as características das vulnerabilidades dos softwares.
A pontuação básica do CVSS vai de 0,0 a 10,0, mas o National Vulnerability Database (NVD) adiciona uma classificação de gravidade para essas pontuações. Os índices CVSS v3.0 e classificações associadas são as seguintes:
- 0,0 — Nenhum
- de 0,1 a 3,9 — Baixo
- de 4,0 a 6,9 — Médio
- de 7,0 a 8,9 — Alto
- de 9,0 a 10,0 — Crítico
O NVD também disponibiliza uma biblioteca de vulnerabilidades e exposições comuns (CVEs) atualizada regularmente, informando as classificações e outros dados relacionados (como fornecedor, nome do produto, versão etc.). A lista de CVEs é oriunda da MITRE Corporation, uma organização sem fins lucrativos que começou a documentar CVEs em 1999 e fornece informações básicas sobre cada vulnerabilidade, sincronizadas automaticamente com o NVD.
Como se preparar para a gestão de vulnerabilidades?
O gerenciamento de vulnerabilidade envolve vários estágios, mas deve começar com uma fase de pré-trabalho para garantir o sucesso do processo. Ela envolve as etapas de:
- determinar o escopo da atividade;
- definir as funções e responsabilidades;
- selecionar as ferramentas de avaliação de vulnerabilidade;
- criar e refinar a política e os SLAs;
- identificar os ativos e recursos envolvidos.
Essa fase serve para avaliar e medir recursos, processos e ferramentas existentes, para identificar lacunas. Aqui, o profissional de segurança precisa fazer perguntas para determinar o escopo da atividade. Veja!
- Quais ativos serão medidos para vulnerabilidades?
- Quais ativos ou hosts são mais críticos na proteção?
- Quem será o responsável pela gestão e quais serão suas funções e responsabilidades?
- Qual o tempo para solucionar uma vulnerabilidade, quando detectada?
- Quais políticas e Service Level Agreement (SLA) devem ser definidos?
- Qual a frequência de análise dos ativos para buscar vulnerabilidades?
- Quais as ferramentas ou softwares a serem usados para examinar os hosts?
Depois de levantadas essas informações é que se pode dar início à gestão de vulnerabilidade, que envolve cinco etapas principais: avaliar, priorizar, agir, reavaliar e melhorar.
Soluções de gerenciamento de vulnerabilidade: o que procurar?
Gerir vulnerabilidades envolve mais que executar uma ferramenta de varreduras: isso já ficou claro. Porém, é preciso contar com tecnologia de qualidade para obter sucesso nesse processo. Existem inúmeras soluções no mercado, mas você precisa focar no que realmente importa.
Uma ferramenta eficiente precisa detectar vulnerabilidades em tempo hábil e oferecer visibilidade abrangente, de preferência em tempo real, para permitir um tempo de resposta realmente ágil. Não é preciso ter um conjunto complexo de soluções, ou nesse caso você também precisaria de uma equipe com muitas habilidades, altamente especializada.
Comece investindo em coibir os problemas internos: físicos, de sistemas, hardware e de políticas de segurança. Ao fazer isso, dará um grande passo na gestão de vulnerabilidades ao coibir muitas práticas nocivas que colocam em risco o ambiente corporativo desnecessariamente.
Quer receber mais dicas de segurança de rede? Assine nossa newsletter e receba material interessante diretamente em seu e-mail!