Fundamentos do gerenciamento de vulnerabilidades: O que você precisa saber

Na primeira parte da nossa série de cinco partes sobre os fundamentos do gerenciamento de vulnerabilidades, exploramos as quatro fases do ciclo de vida da Cyber Exposure. 

A verdade é sempre encontrada na simplicidade, não na multiplicidade e na confusão das coisas.

— Sir Isaac Newton

Na Tenable, somos pioneiros na disciplina de Cyber Exposure para ajudar as equipes de segurança cibernética a calcular e gerenciar seu risco cibernético. A Cyber Exposure é essencial para comunicar os riscos cibernéticos às partes interessadas da empresa e garantir que a segurança cibernética seja levada em consideração nas decisões comerciais estratégicas como uma variável importante. 

Um programa robusto de gerenciamento de vulnerabilidades é fundamental para habilitar a Cyber Exposure. Na verdade, a Cyber ​​Exposure pode não ser eficaz sem os princípios básicos de gerenciamento de vulnerabilidades já implementados. No mundo repleto de ameaças à segurança, novas ferramentas e crescentes regulamentações dos dias de hoje, é fácil perder de vista os fundamentos de segurança: reduzir o risco cibernético identificando e corrigindo vulnerabilidades nos seus ativos mais importantes. O gerenciamento de vulnerabilidades é um processo de identificação e classificação de todos os ativos na superfície de ataque, avaliando esses ativos quanto a fraquezas de segurança, priorizando problemas de segurança para mitigação e aplicando as medidas de correção apropriadas. 

De fato, uma análise mais detalhada do ciclo de vida da Cyber ​​Exposure revela o quão importante é o gerenciamento de vulnerabilidades para a Cyber ​​Exposure. O gerenciamento de vulnerabilidades ajuda as organizações a descobrir, avaliar, analisar e corrigir exposições na superfície de ataque. Nesta série de postagens divididas em cinco partes, examinaremos as etapas individuais deste ciclo de vida para mostrar como os fundamentos do gerenciamento de vulnerabilidades podem ajudar você a reduzir o risco cibernético. Vamos começar com uma visão geral. 

1. Descobrir: descoberta e classificação de ativos 

Como diz o antigo ditado de segurança, "não se pode proteger o que não se vê". Manter um inventário de ativos abrangente e continuamente atualizado é um componente fundamental e crítico do gerenciamento de vulnerabilidades. Com os complexos ambientes de TI dos dias de hoje, que abrangem infraestrutura local e em nuvem, dispositivos móveis, ativos efêmeros e transitórios, aplicações Web, dispositivos de IoT etc., manter um inventário de ativos abrangente não é uma tarefa simples. Começa com uma abrangente descoberta e classificação de ativos, com base no impacto e no risco para a empresa. Tenha em mente que a sua infraestrutura está em constante mudança. Portanto, a descoberta e a classificação de ativos precisam ser feitas de forma contínua.

Saiba mais: Participe do nosso próximo webinar "Como dominar os fundamentos do gerenciamento de vulnerabilidades – Parte 1: Descoberta e classificação de ativos", às 14h00 ET, em 31 de julho de 2019, para obter recomendações práticas sobre esse tópico.

2. Avaliar: avaliação abrangente e contínua de vulnerabilidades 

Depois de obter um inventário de ativos abrangente, é hora de avaliar as vulnerabilidades dos ativos para obter uma imagem clara da sua superfície de ataque e do risco. É importante equilibrar a profundidade, a amplitude e a frequência da avaliação de vulnerabilidades, pois será desafiador obter as três de forma consistente. A avaliação profunda, envolvendo agentes e verificações baseadas em credencial, resulta em dados ricos sobre vulnerabilidades, mas pode levar muito tempo e consumir recursos dos ativos. Avaliações amplas e frequentes também podem ser limitadas pelas operações de negócio. Bem como em outras atividades de segurança, é preciso equilibrar as necessidades de segurança e de negócios e tirar proveito de mudanças de processo e ferramentas para atingir suas metas de avaliação. 

3. Analisar: análise e priorização de vulnerabilidades 

Nessa fase, você enfrentará o desafio clássico de todos os programas de segurança e gerenciamento de vulnerabilidades: a sobrecarga de dados. É provável que a avaliação de vulnerabilidades mostre mais vulnerabilidades críticas e de alta gravidade do que você pode tratar em um prazo razoável. Então, como priorizar as vulnerabilidades a serem corrigidas? Concentrando-se nas vulnerabilidades e nos ativos que têm maior probabilidade de serem explorados. Nota: isso não significa que você deve ignorar o restante das vulnerabilidades e dos ativos; você deve priorizá-los com base no impacto e no risco para a empresa.

4. Corrigir: correção e validação de vulnerabilidades

A correção de vulnerabilidades e a verificação dos resultados são as etapas finais do ciclo de vida do gerenciamento de vulnerabilidades. Muitas violações de dados são causadas por vulnerabilidades bem conhecidas, que são deixadas sem patches por um longo período. Mas, como em outras etapas, a aplicação de patches tem seus próprios desafios. É difícil obter informações precisas sobre os patches que devem ser aplicados para alcançar a redução máxima dos riscos. O mesmo acontece ao identificar os responsáveis pelos ativos e fazê-los priorizar a aplicação de patches em detrimento de outras atividades de negócios. A aplicação de patches também é demorada e pode resultar em tempo de inatividade para alguns ativos. Pode ser preciso utilizar outros sistemas de segurança para proteger os ativos enquanto a aplicação de patches está em andamento. Por fim, é preciso confirmar se a aplicação de patches foi feita com sucesso e se o risco para a empresa foi realmente reduzido.

Lembre-se, o gerenciamento de vulnerabilidades é um processo contínuo. As etapas do ciclo de vida do gerenciamento de vulnerabilidades discutidas neste blog devem ser repetidas continuamente para que suas práticas de Cyber Exposure sejam eficazes. Nas postagens subsequentes do blog, nos aprofundaremos em cada etapa do ciclo de vida do gerenciamento de vulnerabilidades. Fique atento.