Ciclo de vida do gerenciamento de vulnerabilidades

Quais são as 5 etapas do ciclo de gerenciamento de vulnerabilidades

Existem cinco estágios principais no ciclo de gerenciamento de vulnerabilidades:

• Etapa 1. Avaliar
• Etapa 2. Priorizar
• Etapa 3. Agir
• Etapa 4. Reavaliar
• Etapa 5. Melhorar

Etapa 1. Avalie seus ativos

A avaliação é a primeira etapa do ciclo. Nesta fase, os analistas de segurança devem restringir e definir os ativos a serem avaliados quanto à vulnerabilidade. O próximo passo é avaliar cada ativo quanto à vulnerabilidade, gerando um relatório para determinar quais ativos estão em risco e precisam de correção ou investigação e remediação adicionais.

Existem duas abordagens comuns para conduzir uma avaliação de vulnerabilidade: usar uma solução baseada em rede ou usar um sensor instalado, ou “agente”, em cada ativo.

Com uma solução baseada em rede, todos os endpoints precisam estar na rede, e uma ferramenta de avaliação de vulnerabilidade consulta o dispositivo na rede e então realiza uma varredura. Os desafios associados à varredura baseada em rede incluem problemas de acesso e visibilidade limitada. Se um ativo não estiver conectado à rede, o analista de segurança não poderá ver o que está em risco. E normalmente, com soluções legadas baseadas em rede, credenciais são necessárias para visibilidade total. Para muitas organizações, gerenciar o nível de credenciamento necessário para executar uma varredura de vulnerabilidade bem-sucedida é algo complexo e em camadas, o que pode levar a uma imagem incompleta de quais ativos são seguros e quais não são. Além disso, com uma solução de vulnerabilidade tradicional, plug-ins são frequentemente adicionados à ferramenta (às vezes centenas ou milhares de componentes), e eles nem todos "funcionam bem" com o software existente de uma organização. Isso aumenta o tempo que leva para executar a varredura de um host e pode até mesmo interromper o funcionamento do ambiente.

Uma avaliação baseada em agente requer a utilização de um sensor instalado em ativos individuais. Hoje em dia, a maioria dos scanners de vulnerabilidade baseados em agentes exige a instalação de agentes volumosos. Esses agentes geralmente são tão grandes que sobrecarregam muito um endpoint, atolando, reduzindo ou travando os sistemas durante a execução da varredura.

Devido ao impacto significativo no desempenho das ferramentas de varredura de rede e execução baseadas em agentes, muitas vezes é necessário executar a varredura apenas de uma parte do ambiente por vez, o que torna o processo de avaliação mais lento. Ao agir devagar ou segmentar os sistemas, as equipes de segurança podem evitar interrupções na conexão e falhas no sistema. No entanto, isso inibe o objetivo de verificar a vulnerabilidade em todos os hosts relevantes em tempo hábil e, então, resolvê-los.

Depois de executar a varredura, essas soluções legadas fornecem um relatório – um documento enorme e volumoso que os analistas devem examinar para determinar as áreas certas a atacar para remediação. Outro desafio com esse tipo de varredura e seu método de relatório é, novamente, a pontualidade. Assim que um relatório é gerado, ele fica desatualizado. Novas vulnerabilidades podem passar despercebidas por meses ou mais.

Hoje, graças às tecnologias em nuvem e a uma arquitetura de agente leve, ferramentas modernas de gerenciamento de vulnerabilidades (como Falcon Spotlight™, uma solução de gerenciamento de vulnerabilidades que faz parte da plataforma CrowdStrike Falcon®) podem ser executadas continuamente. Elas servem como uma solução sem varredura, permitindo que uma equipe de gerenciamento de vulnerabilidades veja uma variedade de vulnerabilidades imediatamente, porque os dados são armazenados na nuvem e, portanto, estão sempre disponíveis. Como os dados estão disponíveis em tempo real, a varredura de execução é um processo em progresso e contínuo, e não um único ponto no tempo.

Concluída a avaliação de todos os ativos, a próxima etapa é priorizar a vulnerabilidade. (Para possíveis soluções, vá para “Soluções de gerenciamento de vulnerabilidades: o que procurar.”)

Passo 2. Priorize a vulnerabilidade

Depois de coletar dados sobre quais ativos e sistemas estão possivelmente enfraquecidos ou expostos, o trabalho real começa. Nesta etapa do ciclo, a equipe de GV realiza três etapas para determinar as ações da próxima etapa.

1. Atribuir valor. É aqui que seu trabalho prévio se torna valioso. Como você já identificou quais ativos são críticos, deve ser relativamente fácil priorizar cada ativo para investigação.

2. Com sua lista priorizada de ativos, você precisa avaliar a exposição à ameaça de cada ativo. Isso requer alguma investigação e pesquisa para determinar o nível de risco de cada um.

3. Adicionar contexto de ameaça ao seu relatório. A comunicação com sua equipe de operações de segurança e o uso de um poderoso conjunto de ferramentas de segurança de endpoint são inestimáveis. Um mergulho profundo na inteligência de ameaças (coletada internamente e de fontes de terceiros) pode alterar drasticamente o nível de risco avaliado e priorizado nas Etapas 1 e 2.

Etapa 3. Agir

O que você faz com as informações coletadas na etapa de priorização? Existem três opções:

• Você pode aceitar o risco do ativo vulnerável ao seu sistema. Esta é uma opção provável para sistemas ou ativos não críticos, e a ameaça de exposição é muito baixa.
• Você pode mitigar a vulnerabilidade ou desenvolver uma estratégia ou técnica para dificultar ou impossibilitar que um invasor explore a vulnerabilidade. Isso não remove a vulnerabilidade, mas as políticas ou proteções que você implementa mantêm seus sistemas seguros.
• Você pode remediar completamente a vulnerabilidade. Esta é a opção preferida se a vulnerabilidade for conhecida por ser de alto risco e/ou fizer parte de um sistema ou ativo crítico em sua organização. Corrigir ou atualizar o ativo antes que ele se torne um ponto de entrada para um ataque.

Etapa 4. Reavaliar

Depois de priorizar sua lista de vulnerabilidades e atribuir ações com base no nível de exposição, é hora de reavaliar e verificar seu trabalho. Uma reavaliação dirá a você se as ações que você escolheu foram bem-sucedidas e se há novas questões em torno do mesmo ativo, permitindo que você valide seu trabalho, exclua essas questões da sua lista e adicione novas, se necessário. A fase de reavaliação também é útil para relatar métricas dos esforços contínuos da sua equipe à alta gerência.

Etapa 5. Melhorar

Este é o estágio final do ciclo de gerenciamento de vulnerabilidades. Os melhores programas de gerenciamento de vulnerabilidades visam à melhoria consistente, reforçando defesas fracas, trabalhando ativamente para eliminar problemas subjacentes, reavaliando a fase de pré-trabalho e revisitando as primeiras questões de pré-trabalho. Ao examinar regularmente todo o ciclo de vida da vulnerabilidade e procurar maneiras de evoluir e melhorar, você pode se defender proativamente contra qualquer tipo de vulnerabilidade que um invasor possa usar para ameaçar sua organização.