Nos últimos anos, especialmente após a pandemia de COVID-19, as empresas têm demonstrado maior preocupação e realizado investimentos significativos em segurança cibernética. Essa mudança foi impulsionada por diversos fatores. Um destes fatores é o aumento do volume e sofisticação de ciberataques. Muito disso se deve a ambientes vulneráveis. Este artigo tem como objetivo dar base em um tema muito importante: A gestão de vulnerabilidades.
O que é gestão de vulnerabilidades?
A gestão de vulnerabilidades é o processo de identificação, avaliação, priorização e remediação de vulnerabilidades em sistemas, aplicações, redes e dispositivos. Este processo visa minimizar riscos de exploração por atores maliciosos e garantir a segurança da informação dentro de organizações, alinhando-se às melhores práticas recomendadas por normas como a ISO/IEC 27001.
Diferenças entre Vulnerabilidade, Risco e Ameaça
Entender as diferenças entre vulnerabilidade, risco e ameaça é fundamental para uma gestão eficaz. Abaixo segue o resumo
- Vulnerabilidade: É uma fraqueza ou falha em sistemas, processos ou controles que pode ser explorada por uma ameaça. Segundo a norma ISO 27001, vulnerabilidades representam lacunas que comprometem a segurança da informação.
- Ameaça: É qualquer evento ou entidade que tenha o potencial de explorar uma vulnerabilidade. No contexto do MITRE ATT&CK, as ameaças incluem técnicas e táticas empregadas por adversários.
- Risco: Representa a probabilidade de uma vulnerabilidade ser explorada com sucesso por uma ameaça, causando impacto negativo. Ele é avaliado com base em elementos como gravidade da vulnerabilidade e valor do ativo afetado.
Como uma vulnerabilidade é categorizada
O padrão Common Vulnerability Scoring System (CVSS) é amplamente utilizado para categorizar e avaliar a gravidade das vulnerabilidades. Ele considera:
- Métricas base: Incluem impacto na confidencialidade, integridade e disponibilidade dos sistemas.
- Métricas temporais: Avaliam fatores como a exploração existente e a maturidade das soluções de remediação.
- Métricas ambientais: Adaptam a classificação considerando o contexto organizacional e o impacto nos ativos da empresa.
O Common Vulnerability Scoring System (CVSS) é um padrão industrial gratuito e aberto que empresas como Microsoft, CrowdStrike e muitas outras organizações de segurança cibernética usam para avaliar e comunicar a gravidade e as características das vulnerabilidades de software.
O CVSS Base Score varia de 0,0 a 10,0, e o National Vulnerability Database (NVD) adiciona uma classificação de gravidade para as pontuações CVSS. As pontuações CVSS v3.0 e as classificações associadas são as seguintes:
| Pontuação CVSS | Severidade |
|---|---|
| 0.0 | Não existente |
| 0.1-3.9 | Baixo |
| 4.0-6.9 | Médio |
| 7.0-8.9 | Alto |
| 9.0-10.0 | Crítico |
O NVD também fornece uma biblioteca regularmente atualizada de vulnerabilidades e exposições comuns (CVEs), fornecendo as classificações e outras informações associadas (como fornecedor, nome do produto, versão, etc.).
A lista de CVEs é originária da MITRE Corporation. A MITRE é uma organização sem fins lucrativos que começou a documentar CVEs em 1999. Ela fornece informações básicas sobre cada vulnerabilidade e é sincronizada automaticamente com o NVD.
Processo de Gerenciamento de Vulnerabilidades
Baseando-se no Gartner’s Vulnerability Management Guidance Framework, o processo de gerenciamento de vulnerabilidades inclui:
- Identificação: Uso de ferramentas para identificar vulnerabilidades em sistemas e aplicações, como scanners de rede e avaliações de segurança.
- Avaliação: Priorizar as vulnerabilidades com base na pontuação CVSS, relevância contextual e exposição à ameaça.
- Remediação: Fornecer de soluções para corrigir as vulnerabilidades, incluindo patches, configurações seguras ou medidas compensatórias.
- Validação: Verificar a eficácia das ações de remediação para garantir que a vulnerabilidade não persiste.
- Monitoração: Manter um ciclo contínuo de identificação e correção, alinhando-se à dinâmica das ameaças emergentes.
A estrutura de orientação de gerenciamento de vulnerabilidades da Gartner estabelece cinco etapas de “pré-trabalho” antes do início do processo:
- Etapa 1. Determinar o escopo do programa
- Etapa 2. Definir funções e responsabilidades
- Etapa 3. Selecionar ferramentas de avaliação de vulnerabilidades
- Etapa 4. Criar e refinar políticas e SLAs
- Etapa 5. Identificar fontes de contexto de ativos
Esta fase de pré-trabalho avalia e mede os recursos, processos e ferramentas atuais para identificar lacunas. Durante a fase de pré-trabalho, o profissional de segurança deve fazer perguntas que podem ajudar a determinar o escopo do seu programa, incluindo:
- Quais ativos serão avaliados?
- Quais ativos são mais críticos de forma a serem priorizados?
- Quem será o sponsor do programa?
- Quais papéis e responsabilidades cada membro do programa terá?
- Quando uma vulnerabilidade é detectada, qual será o tempo definido para remediação? Ou seja, quais acordos de nível de serviço (SLAs) precisamos definir?
- Com que frequência haverá um novo scan no ativo em busca de vulnerabilidades ou pontos fracos?
- Quais ferramentas ou softwares a empresa deve obter para gerenciar ou escanear nossos hosts conforme definição da política de segurança?
Soluções de gerenciamento de vulnerabilidade
Ao escolher soluções para gestão de vulnerabilidades, é importante considerar funcionalidades como integração, automação e capacidade de priorização. Dentre as ferramentas, destaco as seguintes:
- Microsoft:
- Microsoft Defender Vulnerability Management: Permite identificar, avaliar e priorizar vulnerabilidades em endpoints com integração ao Microsoft Defender for Endpoint.
- Microsoft Security Compliance Toolkit: Ajuda na configuração segura de sistemas operacionais e aplicações.
- CrowdStrike:
- CrowdStrike Falcon Exposure Management (aka Spotlight): Oferece visibilidade em tempo real das vulnerabilidades, integrando dados de ameaças com detecção de vulnerabilidades para priorização mais eficaz.