Toda pessoa ocupada que prioriza tarefas reconhece que os itens menos urgentes são, geralmente, adiados por tempo indeterminado. Esta pode ser uma estratégia eficaz, mas é um caminho perigoso quando se trata de gerenciar as vulnerabilidades da rede corporativa.
O recente relatório divulgado pela Verizon, 2016 Breach Investigations, concluiu que as 10 principais vulnerabilidades são responsáveis por 85% do sucesso na exploração de tráfego. Os outros 15% foram atribuídos a mais de 900 vulnerabilidades e exposições comuns, conhecidas por CVEs (do inglês, common vulnerabilities and exposures). Claramente, se você simplesmente seguir uma estratégia de prioridade e focar apenas nas 10 principais vulnerabilidades, sem efetivamente detectar fragilidades e exposições comuns e gerenciá-las, é bem provável que estará deixando sua rede exposta. A ironia é que grande parte dessas vulnerabilidades e exposições podem ser resolvidas facilmente, por meio de um simples patch ou de melhores práticas de codificação básicas – supondo que você tenha identificado o risco, é claro.
A indústria, em geral, está começando a reconhecer as ameaças e tomar as medidas para proteger-se, embora não tão rapidamente como deveria. Em recente pesquisa sobre segurança realizada pela Forbes Insights e BMC, 60% dos 300 entrevistados C-level disseram que a ampliação da descoberta de vulnerabilidades e remediação era a principal iniciativa para 2016, enquanto apenas 30% disseram que colocar mais recursos na defesa contra ataques “dia zero” seria a principal iniciativa.
Para quebrar o hábito da “alta prioridade”, listo as quatro melhores práticas para assegurar um programa abrangente de gerenciamento de vulnerabilidades que irá ajudá-lo a navegar com sucesso neste mundo cada vez mais denso, diversificado e perigoso das ameaças de cibersegurança:
1. Escaneamento frequente e antecipado
Se a sua varredura de dados de vulnerabilidades não for abrangente e atualizada (seja de um scan autenticado ou não), qualquer tentativa de proteger a rede provavelmente não dará certo. Você não será capaz de identificar com precisão as verdadeiras ameaças à sua rede ou priorizar sua remediação. Para aplicações que sua empresa esteja desenvolvendo, certifique-se de examinar o mais cedo possível o Software Development Lifecycle (SDLC), a fim de aumentar a segurança geral e reduzir os custos de remediação.
2. Assegure-se de que os dados são consumíveis e acionáveis
Apenas ter uma planilha de vulnerabilidades e compartilhá-la com todas as áreas interessadas pode garantir o fracasso do gerenciamento de vulnerabilidade. Mesmo supondo que cada novo relatório de varredura seja aberto, é praticamente impossível usar tal documento para avaliar os riscos com precisão e coordenar a equipe de operações para corrigir as vulnerabilidades de alto risco. Basicamente, é como ter centenas de e-mails “urgentes” para resolver no final do dia – ficamos com a difícil tarefa de descobrir o que é fundamental versus o que pode esperar. Como as empresas podem decidir quais vulnerabilidades priorizar quando todas representam riscos para a organização?
Para mitigar isso, os resultados da varredura de vulnerabilidade precisam estar em uma forma facilmente consumida pelas equipes de segurança e operações. Deve incluir detalhes como o nível de severidade e tempo da vulnerabilidade, além do fato de que a informação também precisa ser acionável. Isso requer a criação de um processo rápido, automatizado e que se repita constantemente, conectando uma vulnerabilidade de alto risco à sua correção.
3. Desenvolver o contexto
O contexto é fundamental quando se trata de compreender a natureza de um problema e tomar a decisão de resposta mais efetiva. Se alguém gritar “Fogo!” você precisa de mais informações antes que possa saber se deve correr em direção ao fogo para ajudar ou fugir dele para se proteger, ou então se deve chamar o departamento de incêndio ou pegar um extintor. Onde está o fogo? Qual o tamanho do incêndio? Com que rapidez ele está se espalhando? Alguém está em perigo ou ferido?
O mesmo acontece com as vulnerabilidades. Uma vez que conhecemos o tempo de existência de uma vulnerabilidade, a quantidade e o nível da gravidade, responder efetivamente ainda requer respostas a perguntas adicionais: quais recursos podem ser afetados? Onde eles se encontram na minha rede? Existe um patch disponível? Em caso afirmativo, quando pode ser implantado? Caso contrário, o risco pode ser atenuado através da proteção em tempo real oferecida por um firewall ou sistema de prevenção de intrusão?
Somente ao conhecer o contexto, é possível garantir que você tomará a decisão correta.
4. Aumente sua “inteligência de vulnerabilidade”
À medida que você melhora sua capacidade de desenvolver contexto e responder a vulnerabilidades com base em dados acionáveis, o seu nível geral de “inteligência de vulnerabilidade” aumenta, o que lhe permite tomar decisões de segurança ainda melhores. Ela também permite que você adapte continuamente sua abordagem de gerenciamento de vulnerabilidade enquanto as ameaças evoluem, a fim de acelerar a cronograma de descoberta para remediação e reduzir o risco geral.
A partir do aumento das vulnerabilidades e do fato de que os atacantes continuam realizando suas abordagens em duas vertentes em busca da parte mais fácil através de CVEs, é fundamental ter um plano de gerenciamento de vulnerabilidades sólido com base em varredura abrangente e atualização de dados, além da capacidade de visualizar rápida e facilmente o contexto da ameaça. Esta é a única maneira de evitar a “armadilha de prioridade” e certificar-se de tomar decisões corretas na mitigação das ameaças atuais mais comuns e dos CVEs que podem levar a um incidente de segurança significativo.
* Por Gedival Silva é gerente de pré-vendas da BMC Brasil
