À medida que os cibercriminosos procuram cada vez mais explorar vulnerabilidades em software e hardware, as empresas devem criar e implementar um programa de gerenciamento de vulnerabilidade eficaz para combater essa ameaça crescente
As empresas em todos os setores dependem fortemente de tecnologia e softwares conectados como parte de suas operações diárias, sejam sites voltados para o cliente, plataformas em nuvem, serviços de e-mail, infraestrutura de rede, computadores usados por funcionários e muito mais.
Mas, embora a tecnologia esteja transformando as empresas de muitas maneiras diferentes, ela também introduziu uma infinidade de riscos à segurança cibernética. Cada vez mais, os hackers estão explorando falhas de software e hardware e, ao fazer isso, podem invadir sistemas corporativos e causar todos os tipos de danos.
Na verdade, de acordo com uma pesquisa da empresa de segurança cibernética Tripwire, 27% das organizações (34% na Europa) sofreram violações devido a vulnerabilidades que não foram corrigidas. E o Ponemon Institute descobriu que 60% das violações de dados em 2019 foram causadas por uma “vulnerabilidade conhecida não corrigida onde o patch não foi aplicado”.
Consequentemente, as empresas devem desenvolver um programa de gerenciamento de vulnerabilidade para identificar, verificar, mitigar e corrigir vários riscos. Sem isso, eles terão muito mais dificuldade em lidar com as vulnerabilidades de segurança e ficarão à mercê de agentes mal-intencionados. Então, como as empresas criam um desses programas e garantem que seja eficaz?
O gerenciamento de vulnerabilidade é essencial
Para os cibercriminosos, as vulnerabilidades em software e hardware representam uma porta dos fundos para as empresas-alvo – e eles estão constantemente tentando encontrá-las e aproveitá-las. Com isso em mente, as equipes de segurança cibernética devem ser proativas na descoberta e correção de vulnerabilidades para que não possam ser exploradas.
Jake Moore, um especialista em segurança da empresa de segurança cibernética ESET, afirma: “Os invasores tentarão continuamente explorar vulnerabilidades, por isso é fundamental que as equipes de segurança identifiquem seus pontos fracos antes que os agentes da ameaça os localizem. Essas vulnerabilidades devem ser identificadas, avaliadas e corrigidas regularmente para garantir a segurança contínua e, portanto, constantemente monitoradas, o que faz um bom programa de gerenciamento. ”
Os programas de gerenciamento de vulnerabilidades são uma parte essencial das estratégias corporativas de risco. Mas para que eles tenham sucesso, a velocidade com que os patches são instalados é fundamental, diz Moore. “Estar ciente das vulnerabilidades é uma prática comum na indústria e não passa uma semana sem que seja exposta uma vulnerabilidade que possa ser explorada”, diz ele.
“Portanto, é essencial que um sistema de gerenciamento não apenas identifique o problema, mas libere atualizações de forma rápida e eficiente, porque se as vulnerabilidades não forem identificadas ou corrigidas, as empresas estarão abertas a ataques”.
Moore diz que os testes de penetração e as equipes vermelhas também permitirão que as empresas enfrentem diferentes vulnerabilidades de segurança. “O próximo nível de monitoramento de fraquezas dentro de uma organização pode ser oferecendo testes de penetração periódicos e red teaming, que atuam como uma forma ainda mais completa de identificar vulnerabilidades em um sistema ou rede”, diz ele.
Sean Wright, líder de segurança de aplicativos SME na empresa de software Immersive Labs, com sede em Bristol, concorda que o gerenciamento de vulnerabilidade desempenha um papel importante nas organizações. “Segurança significa efetivamente gerenciar riscos”, diz ele. “O gerenciamento de vulnerabilidades consiste em avaliar a quantidade de risco que cada vulnerabilidade representa para uma organização.
“O gerenciamento de vulnerabilidades também ajuda a obter uma visão sobre onde podem estar as áreas problemáticas – quais áreas podem apresentar mais risco para uma organização – e ajuda a organização a garantir que forneça recursos apropriados, como financiamento, treinamento, recursos e ferramentas, para ajudar a reduzir o risco atual, bem como prevenir qualquer risco futuro para a organização. ”
Construindo um programa de gerenciamento de vulnerabilidade
Para construir um programa de gerenciamento de vulnerabilidade eficaz e descobrir vulnerabilidades potenciais antes que os criminosos cibernéticos o façam, há várias etapas que as empresas devem seguir como parte desse processo. Tim Mackey, principal estrategista de segurança do Synopsys Cybersecurity Research Center, diz que o primeiro passo é criar um inventário de todos os softwares usados na empresa.
“Simplesmente não é possível corrigir um software que você não sabe que está executando, então o conhecimento e a precisão dos inventários de ativos são fundamentais”, diz ele. “Faça o inventário de todos os softwares, independentemente da origem ou função. É fácil perder o software usado pelas equipes de engenharia ou o firmware usado por sistemas embarcados, como dispositivos IoT [internet das coisas]. ”
Em segundo lugar, as empresas devem identificar a origem do software, como os patches são comunicados aos usuários e como os patches devem ser aplicados, diz Mackey. “Uma vez que cada equipe de software é livre para definir um processo de atualização de patch que faça sentido para eles, conhecer qualquer atributo exclusivo será benéfico quando chegar a hora de patchear”, explica ele.
Terceiro, diz Mackey, as empresas devem registrar a função que o software desempenha dentro da empresa. “Muitas vezes, as declarações de fim de vida são incorporadas às notificações de patch, portanto, saber que não haverá mais patches é tão importante quanto saber que há um novo patch”, diz ele.
Finalmente, as empresas devem validar que o patch não altera nenhum comportamento de configuração, diz Mackey. “Não é incomum que um patch altere uma configuração padrão, mas se essa configuração padrão for como você deseja que as coisas sejam configuradas, o patch pode quebrar em seu ambiente”, acrescenta.
Alex Maklakov, CIO da Clario, diz que um programa de vulnerabilidade eficiente compreende um inventário de ativos em uma rede, um processo de varredura de vulnerabilidade, relatórios, indicadores chave de desempenho (KPIs) e melhoria contínua de serviço.
Mas o mais importante é que esses programas devem ser sustentados por uma comunicação eficaz. Maklakov diz: “O departamento de TI deve compartilhar todas as informações e consultar as partes interessadas sobre as vulnerabilidades descobertas, bem como analisar constantemente o feedback das partes interessadas sobre a melhoria da comunicação – relatórios simplificados, prova de conceito, etc.”
Wright da Immersive Labs diz que as empresas devem implementar uma abordagem de cima para baixo e abordar as vulnerabilidades de segurança que representam o maior risco em primeiro lugar. Mas ele acredita que também é fundamental envolver uma série de partes interessadas no processo de gerenciamento de vulnerabilidade, especialmente ao classificar e priorizar riscos. “Eles podem ter uma visão sobre a vulnerabilidade que pode impactar o risco atribuído à vulnerabilidade”, diz ele.
Brian Kime, analista sênior da Forrester, diz que há quatro coisas que os profissionais de segurança e risco precisam fazer bem para que seu programa de gerenciamento de vulnerabilidade seja eficaz – manter um inventário preciso de ativos; enumerar as vulnerabilidades nestes; priorizar qual vulnerabilidade mitigar em qual ativo primeiro; e aplique um controle de segurança, modifique uma configuração ou aplique um patch de segurança para reduzir o risco de exploração da vulnerabilidade.
O que não fazer
Embora haja uma série de coisas que as empresas devam fazer ao criar e implementar um programa de gerenciamento de vulnerabilidade eficaz, elas também devem estar cientes dos comportamentos que podem ter um impacto negativo e evitá-los.
John Stock, gerente de produto da empresa de segurança Outpost24, diz que as empresas não devem acreditar que estão seguras apenas porque os padrões da indústria e os requisitos regulamentares estão sendo seguidos. “Como exemplo, o PCI diz que você deve executar varreduras de vulnerabilidade trimestralmente ou após qualquer grande mudança no ambiente de dados do titular do cartão”, diz ele.
“Mas isso deve ser visto como o mínimo absoluto. Padrões como PCI são o mínimo que deve ser realizado, mas eles não garantem uma rede segura, então sempre os veja como uma linha de base mínima e tente excedê-los consideravelmente. ”
As empresas também devem garantir que não assumem muito quando começam a gerenciar vulnerabilidades, porque as equipes podem ficar sobrecarregadas e os programas podem não atingir os objetivos pretendidos, diz ele. “Muitos programas de gerenciamento de vulnerabilidade falham porque começam muito grandes”, diz Stock. “Pode haver centenas de milhares ou até milhões de dispositivos a serem verificados, mas nenhuma equipe pode lidar com a saída de tantas verificações.
“Em vez disso, comece com as áreas de risco de negócios mais percebidas, concentre-se nas áreas onde se sabe que você pode fazer a diferença ou onde se sabe que pode haver um risco, e depois cresça a partir daí. Levará algum tempo para digitalizar tudo, mas durante esse tempo, pelo menos, terá sido possível causar um impacto positivo. ”
As equipes de segurança são aconselhadas a não fazer tudo sozinhas, diz Stock. O gerenciamento de vulnerabilidades terá mais sucesso quando todos os departamentos de uma empresa trabalharem juntos. “Um programa de gerenciamento de vulnerabilidade envolve trabalho em equipe, tanto com outras equipes de segurança, outras equipes de TI e com a empresa”, diz ele. “Garanta que você possa obter o máximo valor do seu tempo trabalhando com essas equipes, obtenha sua adesão, planeje com elas e que o tempo inicial trará grandes recompensas a longo prazo.”
Não se preocupe com as pequenas coisas
Ao mesmo tempo, Stock diz às empresas que não se preocupem com as pequenas coisas. “Um programa de gerenciamento de vulnerabilidade fornecerá muitos dados, muitas vezes muitos para lidar sem dividi-los”, diz ele. “Comece com o que o coloca em maior risco, sejam os altos riscos de CVSS, uma alta probabilidade de comprometimento, um alto risco para os negócios, uma plataforma de alto perfil. A maior revelação para muitas pessoas que estão iniciando seu primeiro programa de gerenciamento de vulnerabilidade é que corrigir os maiores riscos geralmente corrige alguns dos menores riscos. ”
Ele também alerta contra o uso de programas de gerenciamento de vulnerabilidade como uma razão para interromper os testes de penetração normais, porque ambos têm finalidades diferentes e são importantes em sua própria maneira. “Uma varredura de vulnerabilidade não é um teste de caneta”, diz ele. “Ninguém pode se dar ao luxo de fazer um pen test semanal, nem deveria. Mas, no mínimo, a realização de um pen test anual ainda é importante.
“Mas um programa de gerenciamento de vulnerabilidade pode garantir que você obtenha mais valor de seus testes de caneta. Eles não mais reportarão cifras SSL fracas ou certificados autoassinados, pois eles foram sinalizados e corrigidos durante a varredura de vulnerabilidade padrão. Em vez disso, eles podem se concentrar nas tarefas e explorações mais manuais. ”
Com o rápido crescimento do ecossistema conectado do qual depende a grande maioria das empresas, elas continuarão a enfrentar ameaças de segurança existentes e emergentes nos próximos anos. Mas, ao projetar e aplicar um programa de gerenciamento de vulnerabilidade, as empresas podem identificá-los e mitigá-los de acordo.