Nunca foi tão importante se atentar para a Gestão de Vulnerabilidades. Os dados atuais de ataques cibernéticos e cibersegurança são preocupantes. O relatório BeyondTrust de Vulnerabilidades Microsoft indicou uma redução do total de vulnerabilidades relatadas em relação ao ano anterior. Porém, foram apenas 5% de ocorrências a menos.
Só no primeiro semestre de 2022, o Brasil registrou 31,5 bilhões de tentativas de ataques cibernéticos a empresas. O número é 94% superior na comparação com o primeiro semestre do ano passado, quando foram 16,2 bilhões de registros. Os dados são de um levantamento da Fortinet, empresa de soluções em segurança cibernética.
O levantamento da Fortinet demonstra outra preocupação: golpes mais sofisticados, como o ransomware e o ransomware as a service.
No terceiro trimestre de 2022, entre julho e setembro, as organizações no país foram atacadas 1.484 vezes semanalmente, um aumento de 37% comparado ao período do terceiro trimestre de 2021. Uma tendência de aumento superior aos níveis globais, que chegou a 28%.
Especialistas dizem que o crescente número de ataques cibernéticos no Brasil se deve à falta de investimentos em segurança da informação. Além disso, as empresas ainda mantêm uma mentalidade de detecção e não prevenção em relação à cibersegurança; ou seja, não investem em Gestão de Vulnerabilidades.
Inclusive, os vazamentos de dados no Brasil e os ataques de hackers a empresas e órgãos públicos fizeram disparar a procura pelos seguros de riscos cibernéticos, segundo levantamento da Federação Nacional de Seguros Gerais (FenSeg). A modalidade arrecadou, entre janeiro e setembro do ano passado, R$ 123 milhões e cresceu 75% em comparação com os primeiros nove meses de 2021.
Isso tudo demonstra que priorizar a Segurança da Informação é crucial. E uma das formas de fazer isso é com um processo de gestão de vulnerabilidades bem estruturado. Algo que você entenderá como fazer ao longo da leitura deste artigo. Acompanhe!
O que é Gestão de Vulnerabilidades
A Gestão de Vulnerabilidades é um processo contínuo de identificação, avaliação, geração de relatórios e correção de vulnerabilidades em sistemas, redes e computadores.
O processo é feito para reforçar a Segurança da Informação e evitar a violação de dados, eliminando brechas que poderiam se tornar oportunidades para ataques hackers e outras ameaças cibernéticas.
Por vezes, essa gestão acontece de forma automatizada, com o acompanhamento de especialistas. A tecnologia é uma grande aliada para encontrar e corrigir vulnerabilidades, tendo em vista que são muitos os problemas em potencial e que, sem ajuda da Inteligência Artificial (AI), o processo se torna lento e ineficiente.
Isso significa que uma equipe de segurança, interna ou terceirizada, deve usar seus conhecimentos em TI e uma ferramenta de gerenciamento de vulnerabilidades para identificar problemas, definir e aplicar diferentes processos para corrigi-las. Algo que deve ser feito o mais rápido possível, de acordo com o grau de risco de cada vulnerabilidade para a continuidade dos negócios.
Como as vulnerabilidades são classificadas e categorizadas?
Como indicamos, o plano de ação da gestão de vulnerabilidades considera o grau de risco de cada brecha de segurança.
Essa avaliação é feita considerando a classificação baseada no Common Vulnerability Scoring System (CVSS); um sistema que define pontuações para indicar a gravidade e as características das vulnerabilidades de software.
A pontuação básica do CVSS varia de 0.0 a 10.0 e a categorização das vulnerabilidades também conta com uma classificação adicional incluída pelo National Vulnerability Database (NVD). As pontuações do CVSS v3.0 e as classificações associadas são as seguintes:
- Pontuação CVSS 0.0 ― gravidade: nenhuma;
- Pontuação CVSS 0.1 a 3.9 ― gravidade: baixa;
- Pontuação CVSS 4.0 a 6.9 ― gravidade: média;
- Pontuação CVSS 7.0 a 8.9 ― gravidade: alta;
- Pontuação CVSS 9.0 a 10.0 ― gravidade: crítica.
O sistema é um padrão gratuito e aberto que diversas empresas de segurança cibernética do mundo todo usam para avaliar e comunicar a gravidade e as características de alguma vulnerabilidade.
E, para auxiliar no processo que favorece a tomada de decisões na gestão de vulnerabilidades, o NVD também disponibiliza uma biblioteca constantemente atualizada de vulnerabilidades e exposições comuns (CVEs), com classificações de gravidade e outras informações pertinentes como o nome do produto e sua versão.
Análise de Vulnerabilidades x Gestão de Vulnerabilidades
Para entender o processo de gestão de vulnerabilidades, é interessante saber qual sua diferença para outra prática importante, a de análise de vulnerabilidades.
Sendo assim, entenda que a análise de vulnerabilidades é um processo pontual para a “identificação e classificação de brechas de segurança capazes de colocar a infraestrutura de tecnologia em risco, assim como os dados sensíveis da organização”.
Por sua vez, a gestão de vulnerabilidades é um processo contínuo que consiste na repetição de processos da análise de vulnerabilidades e que, por isso, tem um impacto positivo maior.
Entenda que, quando o processo acontece pontualmente, muitas falhas podem ser identificadas e corrigidas. Porém, pouco depois, novas vulnerabilidades podem surgir e ser ignoradas, resultando em risco para a organização.
A gestão evita que isso aconteça porque tão logo um ciclo se encerra, outro é iniciado, criando um processo cujas etapas se repetem em intervalos regulares pré-definidos, seguindo a lógica abaixo:
Identificação de possíveis riscos → Definição políticas e o tipo de varredura a ser aplicado → Configuração e realização da varredura → Interpretação dos resultados da varredura feita → Identificação de possíveis riscos…
Com isso, vulnerabilidades que não foram identificadas em primeira análise podem ser detectadas na próxima “peneira”, assim como novas falhas de segurança podem ser corrigidas com rapidez.
Processos da Gestão de Vulnerabilidades
Os detalhes do processos da gestão de vulnerabilidades dependem do sistema e metodologias adotados, mas independentemente disso, é possível fazer um desenho do que precisa ocorrer. Veja só:
Pré-trabalho
A sugestão do Vulnerability Management Guidance Framework, da renomada Consultoria Gartner, é que exista um pré-trabalho composto por cinco etapas que antecedem o início efetivo do processo de gestão. São elas:
- Etapa 1: Determinar o escopo do programa;
- Etapa 2: Definir funções e responsabilidades;
- Etapa 3: Selecione as ferramentas de avaliação de vulnerabilidade;
- Etapa 4: Criar e refinar políticas e SLAs;
- Etapa 5: Identifique as origens do contexto de ativos.
A proposta do pré-trabalho é avaliar e medir os recursos, processos e ferramentas que a empresa já tem para identificar eventuais lacunas. Algo que envolve levantar questões que ajudarão a definir o escopo do projeto, como:
- Quais ativos terão suas vulnerabilidades analisadas?
- Quais ativos são mais críticos no que diz respeito à sua proteção?
- Quem serão os gestores do processo de gestão de vulnerabilidades e quais suas responsabilidades?
- Quais ferramentas devem ser usadas para as análises?
- Qual a frequência com que as análises devem ser feitas?
- Quanto tempo a equipe de segurança terá para corrigir uma vulnerabilidade a partir do momento em que for identificada?
Perceba como as respostas a essas perguntas podem direcionar o desenho do processo da gestão de vulnerabilidades, ressaltando sua importância.
Ciclo de gerenciamento
Depois, é preciso conhecer os seis passos ou fases do ciclo de gestão de vulnerabilidades. Confira a seguir:
Fase 1: Descoberta
A fase da descoberta de vulnerabilidades depende, antes de qualquer coisa, da criação de um inventário completo com os ativos em toda a rede da empresa. Somente com base nessa listagem é possível identificar quais ativos devem fazer parte do processo de gestão de vulnerabilidades.
Ainda, é preciso identificar as vulnerabilidades existentes, o que pode ser feito contando com agenda automatizada para se antecipar à potenciais ameaças.
O processo de identificação que faz parte da descoberta é feito a partir da varredura de sistemas que podem ser acessados por meio da rede corporativa, identificação de portas de entrada a esses sistemas, coleta e comparação das informações do sistema com vulnerabilidades conhecidas.
Para tanto, deve-se considerar as redes internas e externas em busca de vulnerabilidades pré-existentes e novas. Sempre é válido ressaltar que, quanto mais tempo uma brecha passa indetectada, maiores as chances de que se tornem um risco concreto para a empresa.
Fase 2: Priorização de ativos
A fase seguinte é a de atribuir um grau de criticidade e importância aos ativos que compõem a infraestrutura de TI da empresa para definir quais devem ser prioridade no processo de análise e correção de vulnerabilidades.
Considere, por exemplo, que a organização tem um aplicativo exclusivo para a interação com os clientes que é crucial no dia a dia. Esse é um ativo que deve ter prioridade mais alta em relação a outro menos determinante para as operações diárias.
Assim, esse tipo de avaliação serve para que a equipe de segurança entenda quais grupos de ativos demandam atenção mais urgente, o que orienta o desenho do processo como um todo, bem como o direcionamento de recursos para análise e correção de vulnerabilidades.
Fase 3: Avaliação
A fase seguinte do ciclo de gestão de vulnerabilidades deixa o processo de priorização ainda mais criterioso. Isso porque sua proposta passa por avaliar os ativos para entender qual representa um risco maior à Segurança da Informação e, então, determinar quais riscos devem ser eliminados primeiro.
Essa avaliação deve se basear em múltiplos critérios tais como a classificação ― que pode ser baseada na pontuação CVSS que apresentamos ―, o nível de ameaça e a criticidade da vulnerabilidade.
Fase 4: Relatórios
Em seguida, passamos para a fase de documentação da avaliação que define os níveis de risco e as prioridades no processo de gestão de vulnerabilidades. O relatório também deve incluir o plano de segurança e as vulnerabilidades já conhecidas, e isso servirá de base para a ação.
Fase 5: Correção
A fase seguinte é justamente a que coloca em curso as correções das vulnerabilidades identificadas e classificadas como críticas e urgentes. Uma vez que estas forem feitas, a equipe de segurança pode passar para as próximas, seguindo a lista de prioridades.
Fase 6: Verificação e monitoramento
Por fim, a gestão de vulnerabilidades segue para a fase de auditorias e de acompanhamento de todo o processo para assegurar sua eficácia na eliminação dos potenciais riscos.
Benefícios da Gestão de Vulnerabilidades
Entre as empresas que tiveram problemas relacionados à cibersegurança, 62% declararam não saber que eram vulneráveis até que o risco se concretizasse, resultando em vazamento de informações.
Uma das formas de entender, de forma clara, que o risco existe e corrigi-lo antes que algo grave aconteça é por meio da gestão de vulnerabilidades. Seu principal benefício é esse: identificar fragilidades antes que sejam exploradas por hackers ou levem a outro tipo de ação nociva.
Evitar problemas de Segurança da Informação e segurança cibernética previne a paralisação das atividades, prejuízos e danos à imagem da organização e à sua relação com clientes e outros stakeholders.
Além disso, a gestão de vulnerabilidades também contribui para que padrões de segurança mais robustos sejam adotados, mantendo a conformidade com a LGPD e outras diretrizes que se apliquem ao setor de atuação da empresa.
Todo o processo, com as várias etapas que apresentamos, permite que a organização entenda o quão preparada está ― ou não ― para lidar com diversos problemas de segurança. O que pode se traduzir em uma oportunidade para redefinir práticas, repassar orientações e escolher novas tecnologias, por exemplo.
Isso é interessante para que a organização passe a encarar a cibersegurança de maneira proativa, prevenindo riscos, e não reativa, tendo que se desdobrar em um momento de intensa pressão para responder rapidamente a vazamentos e ataques.
Vamos resumir com três pontos que merecem destaque:
Favorece a compreensão das vulnerabilidades
Lembra-se de que 62% das empresas sequer imaginavam estar expostas a riscos? Para além da análise, a geração de relatórios que faz parte do processo de gestão de vulnerabilidades permite um mapeamento de riscos que traduz a realidade da empresa e seus níveis de risco e proteção.
Isso faz toda a diferença para a tomada de decisões que se antecipem a qualquer ataque ou outro tipo de ameaça.
Melhora a segurança como um todo
A gestão de vulnerabilidades, com suas análises frequentes, permite que a empresa esteja à frente dos cibercriminosos e adote medidas e soluções para corrigir falhas e prevenir riscos antes que esses sejam explorados por gente mal-intencionada.
A ideia de um aprimoramento contínuo também pode moldar a cultura organizacional, ajudando a definir como praxe práticas que aumentam os níveis de segurança de forma ampla.
Reduz o tempo para a recuperação de desastres
Por fim, vamos ao benefício que surge quando, eventualmente, algum risco de cibersegurança se concretiza. O mapeamento de ativos com a classificação de prioridades funciona como base para um plano de ação para que a empresa saiba o que fazer para dar uma resposta rápida e reduzir o tempo de inatividade, além de proteger seus dados.
Em outras palavras, a gestão de vulnerabilidades também favorece a redução do tempo necessário para a recuperação de desastres.
Conheça o Prosec
Como indicamos, a gestão de vulnerabilidades pode ser feita pela equipe interna de segurança ou contar com o apoio de especialistas terceirizados. Por se tratar de uma demanda contínua, costuma ser mais interessante buscar uma empresa parceira para cuidar de tudo.
O motivo é simples: não sobrecarregar a TI interna e contar com as melhores soluções, tanto de automação quanto de segurança, para identificar e corrigir as vulnerabilidades. Além disso, uma equipe especializada, por sua dedicação frequente a lidar com esse tipo de demanda, tem melhores condições de fazer um trabalho eficaz.
O PROSEC é um serviço completo que a Prolinx desenvolveu para análise, gestão de vulnerabilidades e monitoramento constante de segurança da informação e eventos de segurança, que conta com a solução SIEM em sua estrutura. Em linhas gerais, essa solução exclusiva funciona como uma central completa de gerenciamento de risco.
Isso porque o PROSEC monitora, coleta, identifica, correlaciona e analisa eventos em tempo real, em fontes distintas. Assim, dá à sua empresa um ciclo contínuo e completo para uma gestão de vulnerabilidades bem estruturada.
Saiba mais sobre o PROSEC e o serviço de Gestão de Vulnerabilidades da Prolinx!
