1. O que é o gerenciamento de vulnerabilidades?
O gerenciamento de vulnerabilidades consiste em tecnologias, ferramentas, políticas e procedimentos para identificar, priorizar e corrigir pontos fracos de segurança em toda a organização. É um processo proativo que ajuda suas equipes a diminuir a probabilidade de uma violação ou ataque cibernético. Com uma abordagem baseada em risco, você também pode alinhar seu programa de gerenciamento de riscos de segurança cibernética com as metas e os objetivos operacionais da organização.
O objetivo do gerenciamento de vulnerabilidades é diminuir as exposições de forma rápida e eficaz e proteger sua superfície de ataque — no local e na nuvem.
Com a solução certa de gerenciamento de vulnerabilidades, você pode obter uma visibilidade abrangente da sua superfície de ataque em constante mudança para monitorar continuamente o ambiente e acompanhar as ameaças em evolução.
Um programa maduro para gerenciar exposições de segurança, como vulnerabilidades, é essencial para garantir resiliência operacional, reduzindo o risco de violação ou ataque cibernético.
O gerenciamento de vulnerabilidades tem quatro fases principais:
- Identifique ativos e vulnerabilidades em todos os seus ambientes, no local e na nuvem
- Priorize a correção de vulnerabilidades de exposições críticas com base em threat intel, no perfil de risco da organização e nas vulnerabilidades que os invasores têm mais probabilidade de explorar no curto prazo
- Corrija problemas de segurança
- Monitoramento contínuo, relatórios e melhorias para o programa
Ao desenvolver um programa de gerenciamento de vulnerabilidades focado em riscos, você consegue conhecer, descobrir e eliminar os pontos fracos de segurança que as ferramentas tradicionais de gerenciamento de vulnerabilidades deixam passar despercebidos.
E, não só para sistemas de TI tradicional, mas também:
- Serviços e sistemas de nuvem
- Dispositivos móveis
- Contêineres ou sem servidor
- Aplicações Web;
- Tecnologia operacional (OT)
Embora cada organização tenha um ambiente exclusivo de ameaças cibernéticas, existem quatro tipos principais de vulnerabilidades:
- Sistemas operacionais e aplicações
- Rede
- Configurações incorretas e baseadas em processos
- Relacionados ao aspecto humano
Exemplos de vulnerabilidades:
- Configurações incorretas de sistemas, redes ou aplicações
- Sistemas operacionais e software desatualizados ou sem patches
- Portas abertas e serviços não utilizados
- Autenticação ineficaz ou interrompida
- Injeção de SQL
- Script entre sites (XSS)
Quais são as vulnerabilidades mais comuns?
O OWASP Foundation atualiza ativamente sua lista de vulnerabilidades OWASP Top 10. A lista anterior de vulnerabilidades comuns inclui:
- Controle de acesso interrompido
- Falhas de criptografia
- Injeção
- Design perigoso
- Configurações incorretas de segurança
- Componentes vulneráveis e desatualizados
- Falhas de identificação e autenticação
- Falhas de integridade de dados e software
- Falhas de monitoramento e registro de segurança
- Solicitação forjada do servidor
O que envolve e quais são as cinco etapas do gerenciamento de vulnerabilidades?
Explicação do ciclo de vida do gerenciamento de vulnerabilidades:
Etapa 1: Descobrir
Identifique e mapeie todos os ativos em todos os ambientes de computação, no local e na nuvem, e verifique vulnerabilidades e outras exposições.
Etapa 2: Avaliar
Compreenda a criticidade dos ativos e o risco, incluindo vulnerabilidades, configurações incorretas e outros indicadores de integridade de segurança.
Etapa 3: Priorizar
Compreenda as exposições de forma contextualizada para priorizar as iniciativas de correção com base na criticidade do ativo, na severidade da vulnerabilidade e no contexto da ameaça.
Etapa 4: Corrigir
Priorize as exposições a serem abordadas primeiro com base no risco ao negócio. Em seguida, use as práticas recomendadas apropriadas do setor para correção.
Etapa 5: Calcular
Meça e faça uma análise comparativa da exposição, internamente e com organizações semelhantes, para que suas equipes possam tomar decisões de negócio e de risco cibernético mais bem embasadas para impulsionar a redução do risco, a conformidade e a maturidade do programa.
Qual é a diferença entre gerenciamento de vulnerabilidades e avaliação de vulnerabilidades?
O gerenciamento de vulnerabilidades e a avaliação de vulnerabilidades são diferentes, mas andam juntos. Muitas vezes, os termos são usados de forma intercambiável, mas não deveriam ser.
O gerenciamento de vulnerabilidades de segurança cibernética identifica ativos e vulnerabilidades da sua superfície de ataque. Ajuda as equipes a planejar estratégias para mitigar problemas de segurança, priorizar e corrigir vulnerabilidades.
Não é o mesmo que uma verificação de vulnerabilidades, que tem datas de início e término definidas. A análise de vulnerabilidades é um snapshot da sua superfície de ataque em um dado momento. Faz parte do programa geral de gerenciamento de vulnerabilidades e ajuda as equipes a identificar e abordar continuamente os riscos cibernéticos.
O que é gerenciamento de vulnerabilidades baseado em riscos?
O gerenciamento de vulnerabilidades baseado em riscos oferece uma visibilidade abrangente da sua superfície de ataque para que você possa ver quais problemas de segurança representam o maior risco.
Quando você sabe quais vulnerabilidades críticas os invasores podem explorar no curto prazo e o possível impacto, você pode mitigar e corrigir as exposições de forma mais eficaz para reduzir o risco.
IA e machine learning aprimoram as práticas de gerenciamento de vulnerabilidades baseado em riscos, que devem ir além de apenas encontrar vulnerabilidades. O objetivo é entender o risco com o contexto da ameaça, incluindo perspectivas sobre o impacto ao negócio.
Como o gerenciamento de vulnerabilidades se diferencia do gerenciamento de vulnerabilidades baseado em riscos?
As práticas tradicionais de gerenciamento de vulnerabilidades oferecem uma visão de alto nível das vulnerabilidades e dos riscos. Elas descobrem as ameaças que uma vulnerabilidade pode introduzir. No entanto, os processos legados não fornecem perspectivas reais do seu cenário de ameaças.
Se suas equipes não entenderem o risco no contexto, elas poderão perder tempo com vulnerabilidades que não são ameaças. Elas podem deixar de encontrar e corrigir vulnerabilidades perigosas com maior probabilidade de afetar negativamente a organização.
Quais são os benefícios do gerenciamento de vulnerabilidades?
- Fornece contexto de ameaças para vulnerabilidades
- Capacita equipes a reduzir ao máximo o risco com o mínimo de esforço
- Proporciona uma visibilidade abrangente de todas as vulnerabilidades em toda a sua superfície de ataque
- Alinha o risco cibernético ao risco ao negócio para que você possa tomar decisões de segurança cibernética e de negócio mais embasadas
- Facilita as análises comparativas e os relatórios sobre o sucesso do programa
- Ajuda a comunicar o risco cibernético às principais partes interessadas no contexto do negócio
- Reduz as medidas de segurança reativas
- Elimina pontos cegos criados por processos de gerenciamento de vulnerabilidades legado
- Permite que as equipes foquem nos 3% de vulnerabilidades que representam o maior risco para a organização
Quais são os desafios comuns do gerenciamento de vulnerabilidades?
Excesso de vulnerabilidades
- À medida que você adota mais tecnologias e mais tipos de tecnologia, como TI tradicional, IoT, IIoT, aplicações Web, infraestrutura e serviços em nuvem, máquinas virtuais etc., o volume de vulnerabilidades e outros problemas de segurança dispara.
- A solução baseada em riscos: Priorize as vulnerabilidades com base no risco real para o seu ambiente e no impacto ao negócio, de modo que você saiba qual exposição abordar primeiro.
Ausência de contexto de ameaças para priorização
- Muitas ferramentas de gerenciamento de vulnerabilidades encontram vulnerabilidades, mas não fornecem nenhum contexto, tampouco têm threat intel para a probabilidade de exploração. Várias classificam muitas vulnerabilidades como altas ou críticas, mesmo que elas nunca afetem o negócio.
- A solução baseada em riscos: Use IA, machine learning e outras fontes de threat intel confiáveis do setor, como a Tenable Research, para entender o Asset Criticality Rating e o contexto das ameaças para priorizar a correção da exposição.
Rastreamento de ativos limitado e perspectivas de todos os seus riscos
- Com a expansão das superfícies de ataque e o aumento da complexidade, a maioria das equipes de segurança, especialmente as que usam ferramentas de gerenciamento de segurança cibernética discrepantes, não consegue obter visibilidade completa de todos os ativos e exposições de segurança.
- A solução baseada em riscos: Use automação e outras ferramentas com reconhecimento de risco para ver todos os ativos, independentemente da velocidade com que aumentam ou da sua duração.
Gerenciamento de patches
- A aplicação de patches é desafiadora. Alguns patches afetam negativamente os sistemas e causam tempo de inatividade e interrupções inesperadas.
- A solução baseada em riscos: Com perspectivas sobre a probabilidade de exploração e o impacto ao negócio, você pode planejar quais vulnerabilidades corrigir primeiro e quais corrigir depois.
Recursos limitados
- Existem milhões de vagas de segurança cibernética desocupadas, um problema agravado pela crescente necessidade de profissionais de segurança da nuvem.
- A solução baseada em riscos: Ferramentas de automação, IA e machine learning focadas no contexto de risco e ameaça podem ajudar você a tomar decisões de correção práticas e impactantes mais rápido, com menos recursos e despesas.
O que são serviços gerenciados de gerenciamento de vulnerabilidades?
Serviços de gerenciamento de vulnerabilidades gerenciados são tarefas do gerenciamento de exposição, que as organizações terceirizam para um provedor de serviços de segurança gerenciados (MSSP) terceirizado, como:
- Verificação de vulnerabilidades contínua
- Identificação, priorização e mitigação de riscos
- Orientações e processos de correção
- Métricas, documentação e relatórios
Sua organização pode precisar de gerenciamento de vulnerabilidades terceirizado se:
- Você tem verba e recursos internos limitados
- Você atua em ambientes complexos, por exemplo, uma combinação de de TI tradicional, OT e nuvens múltiplas ou híbridas.
- Você tem dificuldades em acompanhar o cenário de ameaças em rápida evolução.