Avaliação de vulnerabilidade

O que são avaliações de vulnerabilidade?

Avaliação de vulnerabilidades é o processo contínuo e regular de definição, identificação, classificação e geração de relatórios de vulnerabilidade cibernética em endpoints, workloads e sistemas.

Na maioria das vezes, a avaliação de vulnerabilidades é automatizada usando uma ferramenta de segurança fornecida por um fabricante de segurança terceirizado. O objetivo desta ferramenta é ajudar a organização a entender quais vulnerabilidades existem em seu ambiente e determinar as prioridades para remediação e correção.

Importância da avaliação de vulnerabilidades

Uma vulnerabilidade é qualquer fragilidade no ambiente de TI que pode ser explorada por um ator de ameaças durante um ciber ataque, permitindo acesso a sistemas, aplicações, dados e outros ativos. Por isso, é crucial que uma organização identifique essas fragilidades antes que os ciber criminosos as descubram e as utilizem como parte de um ataque.

À medida que o cenário de ameaças se torna mais amplo e complexo, não é incomum que uma organização descubra centenas, se não milhares, de vulnerabilidades em seu ambiente todos os anos – qualquer uma delas pode ser uma porta de entrada para um ataque ou invasão. A realidade é que essas varreduras, se feitas manualmente, consumiriam muito tempo, tanto que seria quase impossível para as equipes identificar e corrigir todas as vulnerabilidades à medida que elas são introduzidas.

Ferramentas e soluções de avaliação de vulnerabilidades automatizam esse trabalho, permitindo que as equipes de TI otimizem o recurso e se concentrem em tarefas de maior valor, como remediação. Essas avaliações também fornecem às equipes de TI um contexto importante sobre as vulnerabilidades descobertas durante verificações e varreduras. Isso capacita a equipe a priorizar e agir efetivamente sobre as vulnerabilidades que representam as ameaças mais significativas para o negócio.

As avaliações de vulnerabilidades protegem a empresa contra comprometimento de dados e outros ciber ataques e também ajudam a garantir a conformidade com regulamentações relevantes, como o Regulamento Geral de Proteção de Dados (GDPR) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

Tipos de avaliações de vulnerabilidades

Um processo abrangente de avaliação de vulnerabilidades utiliza diversas ferramentas automatizadas para realizar uma série de varreduras em todo o ambiente de TI. Isso permite que a organização identifique vulnerabilidades presentes em aplicações, endpoints, workloads, bancos de dados e sistemas.

As quatro principais varreduras realizadas como parte do processo de avaliação de vulnerabilidades são:

 Varredura baseada em rede

• Identifica vulnerabilidades que podem ser exploradas em ataques de segurança de rede.
• Inclui avaliação de redes tradicionais e também de redes sem fio.
• Aplica controles e políticas de segurança de rede existentes.

 Varredura baseada em host

• Identifica vulnerabilidades em sistemas, servidores, containers, estações de trabalho, workloads ou outros hosts de rede.
• É normalmente implementada como um agente que pode executar a varredura de dispositivos de monitoramento e outros hosts para identificar atividades não autorizadas, alterações ou outros problemas do sistema.
• Oferece visibilidade aprimorada da configuração do sistema e histórico de correções.

 Varredura de aplicações

• Identifica vulnerabilidades relacionadas à aplicação de software, incluindo arquitetura da aplicação, código-fonte e banco de dados.
• Identifica erros de configuração e outras falhas de segurança em aplicações web e de rede.

 Varredura de banco de dados

• Identifica vulnerabilidades nos sistemas de banco de dados ou servidores.
• Ajuda a prevenir ataques específicos ao banco de dados, como injeções de SQL, e a identificar outras vulnerabilidades, como privilégios escalonados e erros de configuração.

Avaliação de vulnerabilidades x gerenciamento de vulnerabilidades

Avaliação de vulnerabilidades e gerenciamento de vulnerabilidades são duas medidas de segurança distintas – mas relacionadas.

Gerenciamento de vulnerabilidades é o processo contínuo e regular de identificação, avaliação, geração de relatórios, gerenciamento e remediação de vulnerabilidades cibernéticas em endpoints, workloads e sistemas. Uma avaliação de vulnerabilidades refere-se apenas à varredura inicial da rede, aplicação, host, banco de dados ou outro ativo. Em outras palavras, a avaliação de vulnerabilidades é a primeira parte do processo mais amplo de gerenciamento de vulnerabilidades.

Essas duas atividades, quando realizadas em conjunto, podem ajudar a organização a identificar e abordar fragilidades no ambiente de TI, ajudando assim a organização a fortalecer a superfície de ataque e proteger a empresa de ameaças e riscos.

Como realizar uma avaliação de vulnerabilidades

Avaliações de vulnerabilidades são mais comumente realizadas por ferramentas ou softwares automatizados. Essas soluções normalmente examinam o ambiente de TI, procurando por assinaturas de vulnerabilidades conhecidas que devem ser corrigidas por outra ferramenta automatizada ou pela equipe de TI.

Para proteção máxima de segurança, uma vez que o escopo e o processo do programa são definidos, essas varreduras devem ser conduzidas continuamente para identificar proativamente as fragilidades em um cenário de rápida mudança.

Cinco etapas na avaliação de vulnerabilidades

A maior parte da organização segue estas cinco etapas básicas ao preparar e conduzir uma avaliação de vulnerabilidades:

1. Definição do escopo e preparação do programa

Durante esta fase, a equipe de TI define o escopo e os objetivos do programa. O principal objetivo deste exercício é dimensionar com precisão a superfície de ataque e entender onde existem as ameaças mais significativas. A atividade principal inclui:

• Identificar todos os ativos, equipamentos e endpoints a serem incluídos na varredura, bem como o software, sistemas operacionais e outras aplicações implementadas nos ativos.
• Descrever os controles de segurança correspondentes e as políticas associadas a cada ativo.
• Determinar o impacto de cada ativo no evento de um ataque (p. ex., o ativo contém ou processa dados confidenciais?

Nesta etapa, a organização realiza uma varredura automatizada dos ativos designados para identificar possíveis vulnerabilidades no ambiente definido na etapa 1. Esta fase quase sempre envolve o uso de uma ferramenta de terceiros ou suporte de um provedor de serviços de cibersegurança. Esta ferramenta ou fabricante depende de bancos de dados de vulnerabilidade existentes ou feeds de inteligência de ameaças para detectar e classificar as vulnerabilidades.

3. Priorização

Nesta etapa, a organização analisa todas as vulnerabilidades identificadas durante a avaliação e determina quais representam o maior risco para o negócio. Aqueles que terão um impacto significativo na organização devem ser priorizados para remediação.

A priorização é baseada em vários fatores, incluindo:

• Pontuação da vulnerabilidade determinada pelo banco de dados de vulnerabilidades ou pela ferramenta de inteligência de ameaças
• Impacto nos negócios se a fragilidade for explorada (ou seja, dados confidenciais estão em risco como resultado dessa vulnerabilidade?)
• Disponibilidade conhecida da fragilidade (ou seja, qual a probabilidade de que os ciber criminosos saibam sobre essa fragilidade ou ela já foi explorada no passado?)
• Facilidade de exploração
• Disponibilidade de correção e/ou esforço necessário para neutralizar a vulnerabilidade

 4.Relatórios

Nesta fase, a ferramenta produz um relatório abrangente que fornece à equipe de segurança um instantâneo de todas as vulnerabilidades do ambiente. O relatório também priorizará essas vulnerabilidades e fornecerá algumas orientações sobre como remediá-las.

As informações contidas no relatório incluem detalhes sobre a vulnerabilidade, como:

• Quando e onde a vulnerabilidade foi descoberta
• Quais sistemas ou ativos ela afeta
• Probabilidade de exploração
• Possíveis danos à empresa se exploradas
• Disponibilidade de uma correção e do esforço necessário para implementá-la

5. Melhoria contínua

Como o cenário de vulnerabilidade muda dia a dia (se não minuto a minuto), as avaliações de vulnerabilidades devem ser realizadas regular e frequentemente. Isso não só ajudará as organizações a garantir que resolveram de forma efetiva as vulnerabilidades identificadas em varreduras anteriores, mas também a ajuda a detectar novas vulnerabilidades à medida que elas surgem.

Além de avaliar os ativos existentes (como redes, bancos de dados, hosts e aplicações), a organização também deve considerar a incorporação de uma avaliação de vulnerabilidade dentro do processo de integração contínua/entrega contínua (CI/CD). Isso ajudará a garantir que as vulnerabilidades sejam abordadas no início do ciclo de vida do desenvolvimento, corrigindo e protegendo essas possíveis explorações antes que elas sejam lançadas.

Possibilitando avaliações contínuas de vulnerabilidades com a CrowdStrike

A visibilidade abrangente e em tempo real de todo o ambiente de TI é essencial para a cibersegurança de qualquer organização. As organizações que continuamente realizam a varredura do ambiente em busca de vulnerabilidades estão em melhor posição para defender seus negócios contra ameaças e riscos.

No entanto, nem todas as ferramentas de avaliação de vulnerabilidades são criadas iguais. Ao selecionar uma solução, é importante escolher uma ferramenta que forneça identificação oportuna de ameaças sem sobrecarregar ou diminuir o desempenho do endpoint ou do sistema.

Por esse motivo, a organização deve considerar uma solução sem varredura – ou seja, que esteja sempre em execução, constantemente procurando por fragilidades e identificando vulnerabilidades – entregue por meio de um agente leve.

O CrowdStrike Falcon® Exposure Management é uma solução sem varredura da CrowdStrike que fornece às organizações um gerenciamento unificado de vulnerabilidades em uma plataforma, entregue por um único agente. A solução inclui um dashboard interativo equipado com funcionalidades de pesquisa e filtro, que permite que as equipes de TI vejam e interajam com os dados em tempo real, dando a elas a capacidade de agir imediatamente para fechar brechas potencialmente perigosas na segurança da organização.