- 1. Explicação sobre o gerenciamento de vulnerabilidades
- 2. Compreensão das vulnerabilidades, ameaças e riscos
- 3. Por que o gerenciamento de vulnerabilidades na nuvem é um desafio
- 4. Gerenciamento de vulnerabilidades versus gerenciamento de patches
- 5. Visão geral das vulnerabilidades e exposições comuns (CVEs)
- 6. Gerenciamento de vulnerabilidades versus avaliação de vulnerabilidades
- 7. Configuração de uma estrutura de gerenciamento de vulnerabilidades
- 8. As quatro etapas principais do gerenciamento de vulnerabilidades
- 9. Aprimorando seu programa de gerenciamento de vulnerabilidades
- 10. Práticas recomendadas para gerenciar vulnerabilidades de carga de trabalho em nuvem
- 11. Perguntas frequentes sobre gerenciamento de vulnerabilidades
Tabela de conteúdo
- Explicação sobre o gerenciamento de vulnerabilidades
- Compreensão das vulnerabilidades, ameaças e riscos
- Por que o gerenciamento de vulnerabilidades na nuvem é um desafio
- Gerenciamento de vulnerabilidades versus gerenciamento de patches
- Visão geral das vulnerabilidades e exposições comuns (CVEs)
- Gerenciamento de vulnerabilidades versus avaliação de vulnerabilidades
- Configuração de uma estrutura de gerenciamento de vulnerabilidades
- As quatro etapas principais do gerenciamento de vulnerabilidades
- Aprimorando seu programa de gerenciamento de vulnerabilidades
- Práticas recomendadas para gerenciar vulnerabilidades de carga de trabalho em nuvem
- Perguntas frequentes sobre gerenciamento de vulnerabilidades
O que é gerenciamento de vulnerabilidades?
Tabela de conteúdo
- Explicação sobre o gerenciamento de vulnerabilidades
- Compreensão das vulnerabilidades, ameaças e riscos
- Por que o gerenciamento de vulnerabilidades na nuvem é um desafio
- Gerenciamento de vulnerabilidades versus gerenciamento de patches
- Visão geral das vulnerabilidades e exposições comuns (CVEs)
- Gerenciamento de vulnerabilidades versus avaliação de vulnerabilidades
- Configuração de uma estrutura de gerenciamento de vulnerabilidades
- As quatro etapas principais do gerenciamento de vulnerabilidades
- Aprimorando seu programa de gerenciamento de vulnerabilidades
- Práticas recomendadas para gerenciar vulnerabilidades de carga de trabalho em nuvem
- Perguntas frequentes sobre gerenciamento de vulnerabilidades
O gerenciamento de vulnerabilidades é um programa contínuo que se baseia em várias tecnologias e práticas para identificar vulnerabilidades - especialmente os riscos de exposição cibernética - e corrigi-las em tempo hábil para proteger a infraestrutura e os recursos de uma organização. O objetivo do gerenciamento de vulnerabilidades é estabelecer processos sistemáticos para detectar e atenuar as vulnerabilidades, independentemente de onde elas surjam.
Além de proteger as redes tradicionais, o gerenciamento de vulnerabilidades é essencial para identificar e prevenir vulnerabilidades em todo o ciclo de vida dos aplicativos. Isso envolve a integração do gerenciamento de vulnerabilidades aos processos de IC e o monitoramento contínuo de todos os hosts, imagens e funções em seu ambiente nativo da nuvem para identificar, priorizar e atenuar os riscos.
Nesse sentido, o gerenciamento de vulnerabilidades estabelece a base para uma estratégia de segurança cibernética saudável, garantindo que as equipes de segurança possam encontrar e corrigir vulnerabilidades de forma confiável antes que elas levem a intrusões no sistema, violações de dados ou outros incidentes de segurança adversos.
Figura 1: Uma vez detectadas, as vulnerabilidades precisam ser contextualizadas para definir seu impacto potencial, sua origem e os ativos que afetam.
Explicação sobre o gerenciamento de vulnerabilidades
Dispositivos de rede, servidores, sistemas de armazenamento, estações de trabalho, aplicativos legados, máquinas virtuais, contêineres, aplicativos em nuvem, microsserviços, bancos de dados, APIs, serviços de infraestrutura em nuvem, serviços de plataforma em nuvem, configurações de segurança - a lista é aparentemente interminável. Com a crescente prevalência de metodologias ágeis e serviços em nuvem ampliando os ambientes de TI, o gerenciamento de vulnerabilidades se tornou cada vez mais complexo. Assim como nos ambientes tradicionais de TI, o gerenciamento de vulnerabilidades para cargas de trabalho em nuvem é um processo contínuo e multifacetado que envolve a identificação, a avaliação, a priorização e a mitigação de vulnerabilidades de segurança para garantir a proteção de dados confidenciais, manter a conformidade com a nuveme reduzir o risco de ataques cibernéticos.
O processo começa com a manutenção de um inventário de ativos atualizado e o emprego da varredura de vulnerabilidades para descobrir possíveis ameaças nos recursos da nuvem. As vulnerabilidades são então avaliadas com base em sua gravidade e impacto, permitindo a priorização dos esforços de correção. O gerenciamento de patches e configurações trata das vulnerabilidades e configurações incorretas do software, enquanto o monitoramento contínuo e a resposta a incidentes garantem a rápida detecção e contenção de ameaças emergentes. Por fim, as atividades de relatório e auditoria proporcionam visibilidade e responsabilidade, garantindo a eficácia e a conformidade do programa de gerenciamento de vulnerabilidades.
Compreensão das vulnerabilidades, ameaças e riscos
Para entender por que as vulnerabilidades são importantes e como elas podem afetar seus negócios, o senhor precisa entender a relação entre vulnerabilidades, ameaças e riscos.
Uma vulnerabilidade é qualquer falha, fraqueza, configuração incorretas ou descuido em um sistema de TI que os invasores poderiam explorar para assumir o controle do sistema, exfiltrar dados dele, interromper suas operações ou causar danos aos negócios.
O que isso significa é que as vulnerabilidades criam uma oportunidade para que as ameaças cibernéticas sejam realizadas. Uma ameaça é qualquer entidade que busca - e potencialmente pode - executar um ataque cibernético de algum tipo. Para realizar um ataque cibernético, no entanto, as ameaças precisam encontrar vulnerabilidades das quais possam tirar proveito.
Quando existe uma vulnerabilidade e uma ameaça busca ativamente explorá-la, a organização está em risco.
Portanto, as vulnerabilidades possibilitam que as ameaças se tornem riscos reais. Sem vulnerabilidades, as ameaças - como hackers que querem roubar dados confidenciais de sua organização para obter ganhos financeiros ou atores de ameaças patrocinados pelo Estado que buscam interromper sistemas críticos para fins geopolíticos - ainda podem existir. No entanto, é somente quando as vulnerabilidades estão presentes que existe o risco de as ameaças serem realmente exploradas.
Por que o gerenciamento de vulnerabilidades na nuvem é um desafio
O gerenciamento de vulnerabilidades não é simples para nenhum tipo de carga de trabalho, mas quando o senhor está lidando com cargas de trabalho em nuvem, detectar e mitigar vulnerabilidades é especialmente desafiador.
Os serviços em nuvem são complexos e variados
As cargas de trabalho em nuvem podem variar enormemente. Eles podem incluir VMs, contêineres, funções sem servidor, serviços de orquestraçãoou todos os itens acima. Cada tipo de carga de trabalho em nuvem pode estar sujeito a diferentes tipos de vulnerabilidades, portanto, o senhor precisa de uma estratégia de gerenciamento de vulnerabilidades que possa reconhecer diferentes ameaças com base no contexto da carga de trabalho.
A nuvem está em constante mudança
Mais do que a maioria dos ambientes no local, os ambientes de nuvem são normalmente dinâmicos. As configurações mudam constantemente à medida que as cargas de trabalho aumentam e diminuem, os usuários são adicionados ou removidos, os aplicativos são atualizados e assim por diante. Por esse motivo, a capacidade de monitorar continuamente as vulnerabilidades é fundamental.
Os riscos da nuvem variam em escopo
Nem todas as vulnerabilidades são criadas da mesma forma. Alguns, como aqueles que permitem explorações de execução remota de código, são mais arriscados do que aqueles que só podem ser explorados em configurações raras. O senhor precisa saber quais são os mais graves para poder resolvê-los primeiro.
Gerenciamento de vulnerabilidades versus gerenciamento de patches
Em alguns aspectos, o processo de gerenciamento de vulnerabilidades é semelhante a outros processos de segurança que as organizações de TI praticam há décadas, como o gerenciamento de patches. Assim como o gerenciamento de vulnerabilidades, o gerenciamento de patches envolve encontrar e reagir sistematicamente a possíveis riscos de segurança (ou seja, software sem patches que os invasores poderiam explorar) antes que eles se tornem problemas ativos.
Mas o processo de gerenciamento de vulnerabilidades vai além do gerenciamento de patches.
- O software não corrigido é uma das maneiras pelas quais as vulnerabilidades podem ser introduzidas nos ambientes de TI, mas não é a única. O gerenciamento de vulnerabilidades também aborda outros pontos de entrada para vulnerabilidades, como configurações inseguras.
- Enquanto o gerenciamento de patches normalmente envolve a instalação periódica de patches de software, o gerenciamento de vulnerabilidades é um processo continuamente. O senhor não faz - ou não deveria fazer - uma varredura em busca de vulnerabilidades apenas uma vez por semana ou até mesmo uma vez por dia. Em vez disso, o senhor deve fazer uma varredura continuamente para que possa encontrar e reagir às vulnerabilidades em tempo real, quando e onde quer que elas apareçam.
- O processo de gerenciamento de vulnerabilidades aplica-se não apenas a ativos (como aplicativos) que podem ser corrigidos, mas também a serviços em nuvem, infraestrutura e outros tipos de recursos que sua equipe de TI normalmente não pode corrigir no sentido convencional.
Visão geral das vulnerabilidades e exposições comuns (CVEs)
Quando os pesquisadores de segurança identificam uma vulnerabilidade em um software que é usado publicamente, eles geralmente a relatam em um banco de dados de Vulnerabilidades e Exposições Comuns (CVE). Os bancos de dados CVE são listas de vulnerabilidades conhecidas. Eles incluem detalhes sobre o que causa a vulnerabilidade, como ela pode ser explorada, sua gravidade e como corrigir ou atualizar os sistemas para atenuar a vulnerabilidade.
A maioria dos bancos de dados CVE define essas informações usando o Common Vulnerability Scoring System (CVSS), uma estrutura aberta para compartilhar detalhes sobre vulnerabilidades e a gravidade que elas representam. Ao tornar os dados de vulnerabilidade acessíveis, os CVEs e o CVSS fornecem um recurso crítico que as organizações podem usar para determinar quais vulnerabilidades afetam os sistemas ou softwares que utilizam. Além disso, ele pode informar às equipes a gravidade dessas vulnerabilidades e se elas podem ser exploradas com base na configuração específica que a empresa usa.
O National Vulnerability Database e o MITRE CVE estão entre os bancos de dados CVE públicos mais populares. No entanto, as organizações também podem manter dados CVE privados ou aprimorados, que podem ser fornecidos a outras organizações como parte das ofertas de inteligência de ameaças.
Figura 2: Processo de identificação de CVE
Uma limitação importante dos CVEs é que, em geral, eles listam apenas as ameaças que afetam softwares disponíveis publicamente, como aplicativos de código aberto. O principal motivo é que qualquer pessoa pode inspecionar um software público e, potencialmente, encontrar vulnerabilidades nele. O software que uma organização reserva para uso interno é mais difícil de ser estudado por pesquisadores terceirizados. Como resultado, as vulnerabilidades do software não foram necessariamente encontradas ou divulgadas nos bancos de dados CVE.
Isso significa que o senhor nunca deve presumir que um aplicativo está livre de vulnerabilidades só porque um banco de dados CVE não mostra nenhum registro de vulnerabilidades conhecidas nele. Sempre há uma chance de que as vulnerabilidades existam - e sejam conhecidas pelos atores de ameaças - mas simplesmente ainda não tenham sido relatadas.
No entanto, as vulnerabilidades de segurança, conforme mencionado acima, vêm em várias formas.
Autenticação interrompida
Processos ou configurações de controle de acesso ineficazes dentro do software podem permitir que agentes mal-intencionados acessem o software ou aumentem os privilégios além dos do usuário.
Injeção de SQL
As vulnerabilidades de injeção de SQL permitem que os invasores injetem consultas mal-intencionadas em um banco de dados para manipular dados ou extrair informações dele. As vulnerabilidades de injeção de SQL geralmente ocorrem devido à falta de validação de entrada adequada em um aplicativo que faz interface com um banco de dados.
script entre sites
Uma vulnerabilidade de script entre sites permite que os invasores executem scripts maliciosos. Esse tipo de vulnerabilidade afeta mais frequentemente sites que contêm código Javascript mal escrito. Se os invasores encontrarem o código vulnerável, eles poderão induzir o site a executar scripts de sua escolha, o que pode lhes dar acesso a recursos nos endpoints que se conectam ao site.
Falsificação de solicitação entre sites
Os invasores podem explorar vulnerabilidades de falsificação de solicitações entre sites para fazer com que os usuários injetem códigos mal-intencionados em um site ou aplicativo com o qual estejam autenticados no momento. Elas são semelhantes às vulnerabilidades de script entre sites, com a principal diferença de que as vulnerabilidades de falsificação de solicitações entre sites se concentram na representação de usuários autenticados para realizar ações mal-intencionadas, em vez de executar códigos mal-intencionados por meio de Javascript inseguro.
Configurações incorretas de segurança
Qualquer tipo de erro ou descuido na configuração de segurança pode desencadear uma vulnerabilidade. Por exemplo, os administradores podem, inadvertidamente, tornar os dados confidenciais acessíveis pela Internet devido a um erro de configuração do firewall ou podem se esquecer de exigir autenticação multifator ao configurar a implantação de um novo aplicativo.
Gerenciamento de vulnerabilidades versus avaliação de vulnerabilidades
O gerenciamento de vulnerabilidades é a estratégia que as organizações de TI usam para identificar e reagir às vulnerabilidades. No entanto, quando uma vulnerabilidade individual é descoberta, eles usam um processo conhecido como avaliação de vulnerabilidade para entender o nível de risco que a vulnerabilidade representa e para ajudar a determinar como corrigi-la.
A avaliação da vulnerabilidade é importante porque nem todas as vulnerabilidades representam o mesmo nível de risco. Por exemplo, uma vulnerabilidade que só pode ser explorada por atacantes que têm acesso físico direto a um sistema vulnerável representa menos risco, de modo geral, do que uma vulnerabilidade que pode ser explorada pela rede, porque o número de atores de ameaça que operam pela rede geralmente é muito maior do que aqueles que têm acesso físico aos ativos de TI.
Além disso, em alguns casos, as vulnerabilidades só podem ser exploradas em configurações ou ambientes específicos. Por exemplo, uma vulnerabilidade em um aplicativo pode ser explorada se o aplicativo estiver hospedado em um servidor Windows, mas não em um servidor Linux, ou vice-versa.
Com base em fatores como esses, a avaliação de vulnerabilidade permite que as organizações determinem o nível específico de risco que cada vulnerabilidade representa para elas. Em seguida, eles podem priorizar a resposta às vulnerabilidades de maior gravidade para minimizar o nível geral de risco.
Configuração de uma estrutura de gerenciamento de vulnerabilidades
Embora os programas de gerenciamento de vulnerabilidades precisem ser adaptados aos requisitos exclusivos das organizações que atendem, o Gartner oferece uma estrutura de orientação para o gerenciamento de vulnerabilidades que fornece um ponto de partida útil para começar a trabalhar com o gerenciamento de vulnerabilidades.
Os principais componentes da estrutura do Gartner incluem:
- Definir o escopo do programa: As empresas iniciam sua estratégia de gerenciamento de vulnerabilidades determinando quantos ativos de TI e tipos de vulnerabilidade precisam abordar.
- Definir funções e responsabilidades: Determinar quem faz o quê e quando é um componente essencial do gerenciamento de vulnerabilidades. Desde a equipe da linha de frente, como os engenheiros de TI, até os CISOs e CTOs, todos têm um papel a desempenhar na localização, comunicação e gerenciamento de vulnerabilidades.
- Selecionar ferramentas de avaliação de vulnerabilidade: As empresas devem decidir quais ferramentas usarão para encontrar e avaliar vulnerabilidades, bem como como a correção de vulnerabilidades será considerada em seus fluxos de trabalho e ferramentas.
- Criar e refinar SLAs de políticas: Os SLAs determinam a rapidez com que as organizações reagirão às vulnerabilidades e o nível de vulnerabilidades ativas que podem tolerar. Os SLAs são um recurso especialmente importante para se adaptar aos negócios, uma vez que diferentes organizações podem tolerar diferentes níveis de risco.
- Identificar fontes de contexto de ativos: As fontes de contexto de ativos fornecem informações complementares, como dados sobre a função que um sistema ou aplicativo desempenha nos negócios, que podem ser essenciais para avaliar as vulnerabilidades e sua gravidade.
Ao atender a cada um desses requisitos, as organizações podem estabelecer programas de gerenciamento de vulnerabilidades que as capacitem a encontrar e reagir a vulnerabilidades em todos os sistemas de interesse.
As quatro etapas principais do gerenciamento de vulnerabilidades
Quando totalmente implementado, um programa eficaz de gerenciamento de vulnerabilidades deve permitir que sua empresa realize cada uma das seguintes etapas do processo de gerenciamento de vulnerabilidades.
Identificar vulnerabilidades
O senhor não pode consertar o que não consegue ver. A detecção de vulnerabilidades envolve a varredura de todos os ativos de TI da organização e a determinação de se eles (ou qualquer componente deles) estão sujeitos a vulnerabilidades. Os bancos de dados CVE são um recurso essencial para essa finalidade, embora, novamente, nem todas as vulnerabilidades estejam detalhadas nas listas públicas de CVE.
Avaliar vulnerabilidades
Após a descoberta, cada vulnerabilidade deve ser avaliada para determinar o nível de risco que representa para a empresa. A avaliação manual da vulnerabilidade pode ser necessária em alguns casos, mas as ferramentas de gerenciamento de vulnerabilidades podem acelerar o processo, determinando automaticamente a gravidade de cada vulnerabilidade e avaliando a probabilidade de a vulnerabilidade ser explorada no ambiente da empresa.
Tratar vulnerabilidades
As vulnerabilidades podem ser tratadas de três maneiras principais:
- Remediação: A correção envolve a eliminação total de uma vulnerabilidade, geralmente por meio da atualização ou aplicação de patches no ativo afetado para que a vulnerabilidade não exista mais.
- Mitigação: A mitigação permite que as organizações minimizem o risco de uma vulnerabilidade ser explorada ou reduzam o dano potencial que ela pode causar. A mitigação é uma boa estratégia nos casos em que a remediação não é possível ou viável. Por exemplo, se não for possível atualizar um aplicativo legado vulnerável porque não há patches disponíveis para ele, o senhor ainda poderá atenuar a vulnerabilidade alterando a configuração do aplicativo.
- Aceitação: Em alguns casos, as organizações de TI podem decidir que as vulnerabilidades não são graves o suficiente para merecer correção ou mitigação. Nesse caso, eles simplesmente aceitam a vulnerabilidade.
Relatar vulnerabilidades
O relatório de vulnerabilidade é o processo de divulgação de vulnerabilidades para as partes interessadas externas. Isso geralmente envolve o envio de relatórios de vulnerabilidade para bancos de dados públicos de CVE, mas as organizações também podem ser obrigadas, por mandatos de conformidade ou acordos contratuais, a relatar vulnerabilidades diretamente aos órgãos reguladores, clientes ou parceiros. De qualquer forma, o objetivo dos relatórios é compartilhar informações sobre quais vulnerabilidades existem, o que as causa e como elas podem ser corrigidas, para que outras pessoas possam reagir a essas vulnerabilidades antes que elas se transformem em explorações.
Aprimorando seu programa de gerenciamento de vulnerabilidades
Ter um programa de gerenciamento de vulnerabilidades implementado não significa que o senhor pode parar de se preocupar com as vulnerabilidades e passar para outras preocupações. Em vez disso, o gerenciamento de vulnerabilidades deve se beneficiar de uma estratégia de melhoria contínua, o que significa que as organizações de TI procuram continuamente maneiras de melhorar suas estratégias de gerenciamento de vulnerabilidades.
Exemplos comuns de melhorias no programa de gerenciamento de vulnerabilidades incluem:
- Fazer uso mais amplo de automações para aumentar a eficiência e a consistência do gerenciamento de vulnerabilidades.
- Incluir sistemas ou aplicativos adicionais no escopo do gerenciamento de vulnerabilidades para aumentar a abrangência da cobertura.
- Aproveitamento de bancos de dados de vulnerabilidade adicionais e/ou fontes de contexto de ativos para aumentar os dados disponíveis ao avaliar as vulnerabilidades.
- Implantar ferramentas de gerenciamento de vulnerabilidades novas ou aprimoradas para detectar tipos de vulnerabilidades que os sistemas anteriores não conseguiam suportar.
Etapas como essas permitem que as organizações tornem o gerenciamento de vulnerabilidades mais eficaz e eficiente, aproximando-as da meta de garantir a detecção e a correção em tempo real de todas as vulnerabilidades, independentemente do que elas impliquem ou de onde existam.
Práticas recomendadas para gerenciar vulnerabilidades de carga de trabalho em nuvem
Não existe um truque simples para garantir que o senhor possa detectar e corrigir todas as vulnerabilidades da nuvem antes que elas se transformem em ameaças críticas. No entanto, estratégias como as seguintes podem ajudá-lo a reduzir o risco de ataques cibernéticos graves relacionados à nuvem.
Integrar a verificação de vulnerabilidade aos processos de CI
Quanto mais cedo no ciclo de vida do desenvolvimento o senhor detectar as vulnerabilidades, menor será o risco de que elas levem a violações nos ambientes de produção.
Por esse motivo, a varredura de vulnerabilidades deve ser integrada aos seus processos de CI. Em vez de esperar até que as cargas de trabalho estejam em produção para examiná-las, examine seus hosts, contêineres, funções sem servidor e outros recursos em ambientes de desenvolvimento e preparação. Mesmo que suas configurações mudem entre desenvolvimento/estágio e produção, o monitoramento de vulnerabilidades antes da implementação ainda maximiza suas chances de evitar que as vulnerabilidades entrem em produção.
Manter a digitalização na produção
Obviamente, o senhor também deve realizar o monitoramento contínuo de vulnerabilidades depois que as cargas de trabalho forem implantadas na produção. Nenhuma quantidade de varredura de pré-implantação substitui a verificação de riscos nas cargas de trabalho de produção.
Examine todas as camadas de seu ambiente de nuvem
Uma carga de trabalho típica em nuvem inclui várias camadas de configuração. Podem existir vulnerabilidades em cada um deles.
Por exemplo, se o senhor implantar contêineres, poderá ter vulnerabilidades na imagem do contêiner. As vulnerabilidades também podem estar presentes nas políticas RBAC que o senhor configura no orquestrador de contêineres. Além disso, as políticas que o senhor configura usando a estrutura de IAM do seu provedor de nuvem podem criar riscos para a carga de trabalho em contêiner.
É por isso que é fundamental verificar todas as camadas de suas cargas de trabalho em nuvem. Onde quer que existam dados, também pode existir uma vulnerabilidade.
Use os CVEs para obter o contexto da vulnerabilidade
Conforme observado acima, algumas vulnerabilidades são mais graves do que outras. Mas nem sempre é óbvio quais requerem atenção imediata.
No entanto, para tornar os alertas de vulnerabilidade tão acionáveis quanto possível, o senhor precisa saber o nível de gravidade de cada um deles. O senhor pode fazer isso usando os bancos de dados de Vulnerabilidades e Exposições Comuns (CVE), que listam as vulnerabilidades conhecidas e as "pontuam" de acordo com o grau de risco que representam.
Ao combinar a detecção de vulnerabilidades com os dados CVE, o senhor obtém insights contextualizados e acionáveis sobre os riscos da carga de trabalho na nuvem.
Perguntas frequentes sobre gerenciamento de vulnerabilidades
O processo de gerenciamento de vulnerabilidades normalmente envolve inventário de ativos, varredura de vulnerabilidades, avaliação de riscos, priorização de esforços de correção, gerenciamento de patches e configurações, monitoramento contínuo, resposta a incidentes e atividades de relatório e auditoria.
A função do gerenciamento de vulnerabilidades é reduzir o risco de violações de segurança e proteger os dados confidenciais, identificando, avaliando e abordando sistematicamente as vulnerabilidades de segurança. Essa abordagem proativa ajuda a manter uma postura de segurança sólida, garante a conformidade com os padrões e as normas do setor e minimiza os possíveis danos causados por ameaças cibernéticas. Ao monitorar e melhorar continuamente a segurança dos ambientes de nuvem e dos sistemas de TI, o gerenciamento de vulnerabilidades contribui para a resiliência e a estabilidade gerais da infraestrutura de uma organização.
Todo programa de gerenciamento de vulnerabilidades deve incluir varredura regular de vulnerabilidades, avaliação abrangente de riscos, correção oportuna e monitoramento contínuo. Esses quatro requisitos garantem a identificação e a mitigação contínuas das vulnerabilidades, a priorização dos esforços com base no risco e a manutenção de uma postura de segurança sólida para proteger os ativos e os dados da organização.
Organizações de todos os setores - órgãos governamentais, instituições financeiras, prestadores de serviços de saúde e empresas de tecnologia - utilizam programas de gerenciamento de vulnerabilidades, pois são essenciais para proteger dados confidenciais, garantir a conformidade com as normas e manter uma postura de segurança sólida.
- As vulnerabilidades da rede envolvem pontos fracos na infraestrutura, nos protocolos ou nas configurações da rede, permitindo que os invasores interceptem, modifiquem ou interrompam as transmissões de dados.
- As vulnerabilidades do sistema operacional referem-se a falhas no sistema operacional ou em seus componentes, que podem ser exploradas para obter acesso não autorizado, aumentar os privilégios ou executar códigos mal-intencionados.
- As vulnerabilidades humanas decorrem de erros humanos ou ações maliciosas, como cair em ataques de phishing, senhas fracas ou ameaças internas.
- As vulnerabilidades dos aplicativos resultam de práticas de codificação inseguras e configurações incorretas.
- As vulnerabilidades do processo decorrem de políticas de segurança, procedimentos ou controles de conformidade inadequados, levando a lacunas na proteção e ao aumento do risco de violações de segurança.
Em segurança cibernética, uma ameaça refere-se a qualquer atividade ou evento malicioso em potencial que vise explorar vulnerabilidades em sistemas, redes ou aplicativos, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade de dados e recursos. As ameaças podem se originar de várias fontes, como hackers, criminosos cibernéticos, estados-nação ou até mesmo internos, e podem se manifestar de várias formas, incluindo malware, ataques de phishing, ataques de negação de serviço, ransomware ou esquemas de engenharia social.
Os desafios do gerenciamento de vulnerabilidades incluem:
- O surgimento constante de novas vulnerabilidades
- Recursos limitados para lidar com as vulnerabilidades identificadas
- Priorização dos esforços de remediação
- Garantir a aplicação de patches e atualizações de configuração em tempo hábil
- Manter a visibilidade em um ambiente de TI complexo e em evolução
- Superar fatores humanos, como resistência à mudança ou falta de conscientização.
Além disso, as organizações precisam acompanhar as normas do setor e os requisitos de conformidade, o que acrescenta outra camada de complexidade ao processo de gerenciamento de vulnerabilidades.
Os quatro estágios da vulnerabilidade são a descoberta, a avaliação, a exploração e a correção. A descoberta envolve a identificação de vulnerabilidades em ecossistemas de nuvem e redes no local por meio de varredura automatizada ou testes manuais. A avaliação refere-se à avaliação da gravidade e do impacto potencial das vulnerabilidades identificadas. A exploração ocorre quando um invasor aproveita uma vulnerabilidade para comprometer um sistema ou obter acesso não autorizado. A correção envolve o tratamento da vulnerabilidade, seja por meio de patches, alterações de configuração ou outras ações de atenuação, para evitar novas explorações.
O Common Vulnerability Scoring System (CVSS) é uma estrutura padronizada e amplamente adotada para avaliar e classificar a gravidade das vulnerabilidades de segurança em sistemas de TI e ambientes de nuvem. O CVSS fornece uma pontuação numérica entre 0 e 10, levando em conta fatores como a facilidade de exploração, o impacto sobre a confidencialidade, a integridade e a disponibilidade e o nível de interação necessária com o usuário. Pontuações mais altas indicam vulnerabilidades mais graves, permitindo que as organizações priorizem os esforços de correção e aloquem recursos de forma eficaz.
Uma vulnerabilidade de segurança de código refere-se a uma fraqueza ou falha no código-fonte de um aplicativo de software, resultante de erros de programação, práticas de codificação inseguras ou configurações incorretas. A exploração dessas vulnerabilidades pode permitir que os invasores comprometam o aplicativo, obtenham acesso não autorizado a dados confidenciais ou realizem ações maliciosas, o que pode causar danos significativos à organização afetada.
As vulnerabilidades são classificadas quanto à gravidade usando estruturas padronizadas como o CVSS, que considera fatores como o impacto potencial sobre a confidencialidade, a integridade e a disponibilidade, a complexidade da exploração e o nível necessário de interação do usuário. A pontuação numérica resultante permite que as organizações classifiquem as vulnerabilidades com base em sua gravidade, ajudando a priorizar os esforços de correção e a alocar recursos com base no risco.
As organizações devem verificar todos os componentes de seu ambiente de TI em busca de vulnerabilidades, incluindo dispositivos de rede, servidores, estações de trabalho, aplicativos, bancos de dados e infraestrutura de nuvem. A varredura regular de sistemas internos e externos, bem como a integração da varredura de vulnerabilidades no ciclo de vida de desenvolvimento de software, garante uma cobertura abrangente e ajuda a manter uma postura de segurança forte.
A responsabilidade pelo gerenciamento de vulnerabilidades normalmente recai sobre uma combinação de equipes de segurança de TI, administradores de rede, administradores de sistemas e desenvolvedores de aplicativos. O gerenciamento eficaz de vulnerabilidades requer colaboração e coordenação entre essas equipes, com indivíduos responsáveis pela identificação, avaliação e correção de vulnerabilidades, bem como pela implementação de práticas recomendadas de segurança e pela garantia de conformidade com as normas e os regulamentos do setor. Em algumas organizações, uma equipe dedicada de gerenciamento de vulnerabilidades ou um diretor de segurança da informação (CISO) pode supervisionar todo o processo.
O tipo mais comum de varredura de vulnerabilidade é a varredura automatizada de vulnerabilidade de rede, que utiliza ferramentas de varredura de vulnerabilidade para identificar e avaliar os pontos fracos de segurança de rede, servidores e estações de trabalho de uma organização. Essas varreduras normalmente abrangem uma ampla gama de vulnerabilidades conhecidas, inclusive aquelas relacionadas a software desatualizado, configurações incorretas e protocolos de rede inseguros, ajudando as organizações a manter um ambiente de TI seguro e em conformidade.
Uma varredura de vulnerabilidade é realizada usando ferramentas especializadas que analisam os sistemas de TI em busca de pontos fracos de segurança conhecidos, configurações incorretas ou software desatualizado. Essas ferramentas normalmente usam uma combinação de detecção baseada em assinatura, análise heurística e testes manuais para identificar possíveis vulnerabilidades. As varreduras podem ser realizadas de forma programada, após mudanças significativas no ambiente, ou sob demanda, com resultados que fornecem informações detalhadas sobre as vulnerabilidades identificadas e recomendações para correção.
A seleção da melhor ferramenta para varredura de vulnerabilidades depende dos requisitos organizacionais, do orçamento e do ambiente de TI específico. As ferramentas populares incluem Nessus, Qualys, OpenVAS e Rapid7 Nexpose. Os fatores a serem considerados na escolha de um scanner de vulnerabilidades incluem a capacidade de detectar uma ampla gama de vulnerabilidades, a facilidade de integração com a infraestrutura existente, a escalabilidade e a qualidade do suporte e das atualizações fornecidas pelo fornecedor.
Uma varredura de vulnerabilidade CVE (Common Vulnerabilities and Exposures) é um processo que usa uma ferramenta de varredura de vulnerabilidades para identificar vulnerabilidades de segurança conhecidas nos sistemas de TI, com base no banco de dados CVE. O banco de dados CVE é um repositório padronizado e acessível ao público de vulnerabilidades de segurança conhecidas, mantido pela MITRE Corporation. As varreduras de vulnerabilidades do CVE ajudam as organizações a detectar e abordar vulnerabilidades conhecidas em seus sistemas, reduzindo o risco de violações de segurança e melhorando a postura geral de segurança.
O exame de vulnerabilidade do NIST refere-se ao processo de identificação de vulnerabilidades de segurança em sistemas de TI, seguindo as diretrizes e recomendações fornecidas pelo National Institute of Standards and Technology (NIST). O NIST oferece práticas recomendadas, como as encontradas nas publicações especiais 800-53 e 800-115 do NIST, para ajudar as organizações a implementar processos eficazes de varredura de vulnerabilidades, manter uma postura de segurança sólida e garantir a conformidade com os regulamentos federais e os padrões do setor.
