Gerenciamento de vulnerabilidades: Avaliar

Desenvolva uma funcionalidade de avaliação de vulnerabilidades que identifique a superfície de ataque completa da sua organização

O gerenciamento de vulnerabilidades é uma parte essencial do programa de segurança de qualquer organização e é a base da Cyber Exposure, uma disciplina emergente para gerenciar e calcular o risco de segurança cibernética na era digital. Um programa de gerenciamento de vulnerabilidades consolidado inclui as cinco etapas do ciclo de vida da Cyber Exposure.

Este Resumo da Solução foca na segunda etapa do gerenciamento de vulnerabilidades: Avaliar.

O objetivo da fase "Avaliar" é compreender a Cyber Exposure de todos os ativos, incluindo suas vulnerabilidades, configurações incorretas e outros indicadores de integridade de segurança.

Principais benefícios

• Avaliar sua superfície de ataque completa para que você possa compreender o risco e proteger adequadamente a sua organização.
• Auditar a aplicação de patches e as alterações de configuração para ter certeza de que as vulnerabilidades e as configurações incorretas foram corrigidas adequadamente.
• Informar o gerenciamento de incidentes com informações sobre vulnerabilidades e configurações incorretas para ajudar a priorizar a investigação.

Desafios

Avaliar todos os ativos é desafiador por dois motivos principais:

• Diversos tipos de ativos, incluindo ativos de TI tradicionais, transitórios, móveis, dinâmicos e operacionais, costumam exigir diferentes tecnologias de avaliação. As verificações ativas de avaliação são mais adequadas aos ativos de TI tradicionais. No entanto, nuvem, aplicações Web, contêineres e tecnologia operacional (OT) requerem métodos de avaliação adicionais. Por exemplo, é possível usar monitoramento passivo para avaliar ativos de OT, como PLCs e RTUs. Isso diminuirá o risco de interrupção da operação devido à verificação ativa.

• Garantir a veracidade dos dados. Nada prejudica mais a credibilidade da segurança aos olhos dos proprietários/administradores de ativos do que dados de avaliação imprecisos. Basta um número errado para desconsiderarem todo o seu trabalho. Você precisa de um preparo cuidadoso para avaliar com a amplitude, a profundidade e a frequência ideais. Você precisa das tecnologias certas para avaliar todo o seu leque de ativos sem contar em duplicidade os ativos e/ou as vulnerabilidades. Você precisa de credenciais atuais para avaliações profundas e autenticadas, e precisa executar os testes corretos durante a avaliação. Por fim, você precisa apresentar informações em tempo hábil.

Solução

A criação de uma funcionalidade consolidada para Avaliar que identifique toda a superfície de ataque da sua organização progride em quatro níveis, e a Tenable pode ajudar você em cada um deles.

Nível 1. Avaliar ativos tradicionais no local

Você deve selecionar os hosts descobertos que deseja avaliar e usar o modelo básico de verificação de rede do Nessus para executar uma verificação de vulnerabilidades internas adequada para qualquer host. As avaliações do Nível 1 presumem que o Nessus não tem as credenciais necessárias para verificações autenticadas. Portanto, o Nessus vai ignorar automaticamente as verificações de segurança locais, que estão incluídas na verificação básica de rede, mas que exigem credenciais.

Nível 2. Aumentar a amplitude, a profundidade e a frequência das avaliações

É preciso aumentar a amplitude da avaliação para incluir todos os ativos modernos para calcular e gerenciar sua superfície de ataque completa. A Tenable oferece funcionalidades de avaliação otimizadas para laptops, dispositivos móveis, infraestrutura virtual, nuvem, aplicações Web, contêineres e tecnologia operacional. Talvez seja preciso adotar uma nova mentalidade, criar novos relacionamentos com o desenvolvimento de aplicativos e encontrar formas inovadoras de implementar segurança, além de permitir processos de DevOps que se desenvolvam rapidamente. Uma forma seria integrar a avaliação aos fluxos de trabalho de criação de software na fase de desenvolvimento, em vez de esperar até que os ativos de software sejam implementados na produção.

Com o uso de verificações e agentes autenticados, a profundidade aumenta. As verificações autenticadas, também chamadas de verificações credenciadas, usam credenciais para acessar remotamente e examinar os dispositivos de dentro para fora. Como as verificações autenticadas examinam os dispositivos de dentro para fora, elas podem coletar diversas informações de segurança sobre software instalado e vulnerabilidades. A verificação baseada em agente, executada pelo software instalado nos dispositivos, vê os dispositivos de dentro para fora e pode fornecer informações detalhadas semelhantes à verificação autenticada. Os agentes solucionam dois problemas comuns de ativos transitórios. Primeiro, eles removem o ponto cego que é deixar de avaliar os ativos desconectados da rede durante as verificações. Segundo, eles relatam um determinado ativo (e suas vulnerabilidades) apenas uma vez, mesmo que seu endereço IP mude a cada reconexão.

Você deve incluir a detecção de malware nas suas avaliações, e então as verificações autenticadas poderão procurar malware conhecido nos sistemas de arquivos. Além disso, eles podem detectar a presença, atualizar o status e a operação de vários produtos antivírus.

Você deve aumentar a frequência da avaliação ad hoc para um intervalo programado regularmente. O intervalo deve ter a frequência mínima do seu ciclo de aplicação de patches, se não semanalmente.

Nível 3. Avaliar as configurações e otimizar a avaliação por classe de ativos

A avaliação das configurações reduz a superfície de ataque do ativo desativando serviços desnecessários, como FTP e RDP, aplicando uma autenticação forte e, normalmente, fortalecendo o ativo. É possível avaliar servidores, desktops, laptops, serviços da Web, bancos de dados, infraestrutura em nuvem e dispositivos de rede, entre outros, usando os padrões do Center for Internet Security, da Defense Information Systems Agency e de vários fornecedores. Nota: ao avaliar seus ativos em relação a um desses padrões, provavelmente você descobrirá mais problemas de configuração do que esperava. Portanto, pode ser necessário adaptar os padrões para, de início, diminuir os requisitos e depois aumentá-los gradualmente.

Você precisará definir parâmetros de avaliação com base no SLA para cada classe de ativo. Os SLAs de classe de ativos ajustam a profundidade, a amplitude e a frequência da avaliação para proteger a sua superfície de ataque com base na magnitude da perda esperada dos seus diferentes serviços. Você deve avaliar os ativos classificados como "alta prioridade" mais detalhadamente do que outras classes de ativos.

Nível 4. Avaliar os ativos continuamente e integrá-los com o gerenciamento de acesso privilegiado

Neste nível, acrescenta-se uma avaliação quase em tempo real de novos ativos e uma revisão periódica dos SLAs de avaliação. Também é possível fazer a integração com sistemas de gerenciamento de acesso privilegiado, se aplicável.

A avaliação em tempo real avalia ativos recém-descobertos imediatamente. O monitoramento passivo identifica continuamente várias novas vulnerabilidades e pode acionar uma verificação ativa automaticamente para avaliar o ativo recém-descoberto mais detalhadamente. Se o novo ativo tiver um agente incluso na sua imagem incorporada, o agente avaliará automaticamente o ativo e relatará os resultados.

A revisão dos SLAs garante que as políticas de avaliação (profundidade, amplitude e frequência) continuem a se adaptar a cada classe de ativos. Por exemplo, se a sua equipe de desenvolvimento de aplicativos responsável por um site que gera receita tiver começado a usar recentemente a tecnologia de contêiner ou o Azure, será preciso trabalhar com ela para atualizar a política de avaliação apropriada.

A integração com o gerenciamento de acesso privilegiado (PAM) é muito útil se você muda regularmente as credenciais necessárias para verificações autenticadas. A integração fornece credenciais atuais ao verificador automaticamente para evitar falhas nas verificações.

Para mais informações:

Acesse tenable.com

Entre em contato conosco:

Envie-nos um email pelo endereço [email protected] ou acesse tenable.com/contact