No final da década de 1990 foram criados os primeiros softwares de varredura para buscar vulnerabilidades em ambientes de tecnologia. A automação deste processo permitiu que as empresas fossem capazes de encontrar e corrigir falhas a tempo, antes de um ataque e, já em 1999, foram cadastrados 991 registros de vulnerabilidades.
O problema é que o número de vulnerabilidades encontradas cresceu 30 vezes em 20 anos. De acordo com o CVE, em 2021 foram registrados 28.506 identificadores únicos de vulnerabilidades, no ano anterior esse número foi ainda maior: 30.6680.
Pergunte para qualquer CISO se o número de pessoas que corrigem essas falhas, ou se o orçamento de segurança, cresceu vinte vezes nos últimos anos e, rapidamente, vamos nos encontrar em um beco sem saída. Tanto é verdade que, em 2021, a desatualização de softwares (uma das causas principais de vulnerabilidades) foi considerada uma das três maiores preocupações nas empresas, já que um em cada cinco incidentes de segurança pode ser relacionado a um software sem patch.
Para te ajudar a reconsiderar suas decisões sobre a gestão de vulnerabilidades e vencer esse desafio, preparamos um guia com cinco práticas que você deve abandonar para melhorar a eficiência da gestão de vulnerabilidades na sua empresa.
1. Calcular risco somente com base no CVSS
O Sistema Comum de Classificação de Vulnerabilidade (CVSS – Common Vulnerability Scoring System) é uma iniciativa do Instituto Nacional de Padrões e Tecnologia (NIST – National Institute of Standards and Technology) norte americano usado globalmente para classificar o nível de severidade das falhas de segurança descobertas no ambiente digital.
Tanto empresas que adotam o processo de gestão de vulnerabilidades diretamente, quanto fornecedores desse tipo de serviço, até fabricantes de scanners (os softwares que buscam vulnerabilidades em um sistema) utilizam o CVSS com o framework padrão para classificar o quão séria é uma falha de segurança e, a partir daí, priorizam sua correção. A severidade, nesse sistema, pode ir de nenhuma (nota 0, no CVSS), até crítica quando a falha é classificada com a nota entre 9 e 10.
Como vimos, novas vulnerabilidades surgem a cada dia e se somam àquelas que não foram corrigidas, o que torna o sistema padrão de classificação praticamente impossível de ser utilizado.
Ao invés disso, faça uma reflexão sobre qual o real impacto da falha encontrada no ambiente. Qual é o risco que ela impõe à organização? Como a operação vai ser impactada se um sistema sair de produção? Qual o impacto para os dados sensíveis da empresa, seus clientes e reputação? Há algum perigo de descumprimento de regulação?
É necessário priorizar a correção de vulnerabilidades com base no risco. De acordo com o Gartner, é impossível corrigir tudo o que é encontrado e deve-se focar naquelas que podem ser realmente exploradas no ambiente da sua empresa.
2. Adotar a frequência errada de varreduras para sua empresa
O Centro para Segurança na Internet (CIS – Center for Internet Security) criou e mantém um dos padrões mais utilizados para avaliação e planejamento de ações em segurança cibernética.
O CIS Controls dedica um de seus controles especificamente para a “Gestão Contínua de Vulnerabilidades” e você pode se perguntar qual deve ser a recorrência das varreduras nos sistemas de sua empresa. Bem, isso depende.
Você deve escolher a recorrência que mais se adequa ao seu negócio, não há uma solução única, aqui apresentamos três estratégias para você avaliar:
Baseada em mudanças: indicada para companhias com grande velocidade de publicação de novos serviços ou versões de aplicações. Cada deploy pode criar uma vulnerabilidade nova e, portanto, as varreduras devem acontecer sempre que há uma mudança no ambiente crítico.
Baseada em higiene: a velocidade com que vulnerabilidades são descobertas e, pior, tem explorações criadas por cibercriminosos, está cada vez maior. Se pegarmos o WannaCry, por exemplo, um exploit (a maneira como a falha podia ser explorada para dar acesso a sistemas) foi criado 28 dias depois da sua divulgação. Ainda nesse exemplo, a Microsoft havia lançado um patch somente 59 dias antes do seu registro como vulnerabilidade conhecida, assim, uma janela de varredura maior do que 30 dias pode impor sérios riscos à organização.
Baseada em conformidade: se sua empresa atua em um setor regulado pode ser necessário atender aos requisitos dessas legislações para se manter em conformidade. O PCI-DSS, por exemplo, demanda uma varredura de vulnerabilidades pelo menos a cada três meses, o que seria suficiente para manter a conformidade mas não a segurança do ambiente, como vimos na estratégia anterior.
3. Deixar de classificar ativos
Todos os especialistas de segurança são categóricos em afirmar a importância de se conhecer o inventário de TI da organização como premissa para a execução de uma correta gestão de vulnerabilidades.
O CIS Controls, dedica seu primeiro e segundo controle inteiramente para a identificação e a gestão eficiente de ativos de software e hardware, tamanha a importância dessa ação. O que se vê, no entanto, é que a visão sobre o ambiente de TI é superficial e que, na maioria das vezes, aplicações e ativos se mantêm nas sombras.
Para além de conhecer os ativos de software e hardware presentes nos ambientes da sua companhia, é necessário atribuir uma pontuação de criticidade para eles também. Isso porque uma vulnerabilidade crítica encontrada em um servidor de produção, que dá suporte a uma aplicação tem que ser corrigida antes de uma vulnerabilidade crítica encontrada em um software utilizado pelo departamento de Marketing da empresa, certo?
Atribuir vulnerabilidades encontradas aos ativos de cada ambiente vai permitir que você adote uma camada adicional de gestão de vulnerabilidade com base em risco, aumentando exponencialmente a eficiência da redução do risco digital na companhia.
4. Usar planilhas
Como já vimos, diariamente podem surgir uma centena de novas vulnerabilidades e, com esse volume de dados é praticamente impossível extrair insights utilizando planilhas eletrônicas. Invariavelmente você vai terminar com um sistema precário de priorização das falhas identificadas no ambiente, e estará particularmente exposto a erro humano, ao controle de versões e arquivos tão grandes que precisarão de um supercomputador para serem processados.
Além disso, os recursos oferecidos como padrão por ferramentas de varredura normalmente não oferecem funcionalidades de relatórios que permitam extrair informações relevantes do conjunto de dados produzidos por elas, o que não auxilia em nada no cenário.
Utilizar uma ferramenta com funcionalidades de visualização e análise de dados pode ajudar sua empresa a focar naquilo que importa para uma gestão eficaz de vulnerabilidades como ocorrências por tipo ou categoria, falhas nunca identificadas, severidade por grupo de ativos ou ambientes.
5. Não ter acompanhamento histórico
Essa última prática está intimamente ligada à anterior, não ter um acompanhamento consolidado do histórico de vulnerabilidades em seu ambiente impede a determinação de padrões, por exemplo.
Analisando o comportamento histórico você poderá identificar processos de negócio que causam picos de falhas, isso permitirá a correção da sua causa raiz. O acompanhamento da linha do tempo também permite definir e acompanhar indicadores de performance por equipes e indivíduos, que leva a uma gestão mais eficaz de recursos humanos e investimentos.
O desafio de gerir o cenário complexo de vulnerabilidade cibernéticas é grande, mas possível de ser enfrentado. O impossível é esperar resultados diferentes fazendo sempre a mesma coisa.
