O que é gerenciamento de vulnerabilidades?
Gerenciamento de vulnerabilidades é o processo contínuo e regular de identificação, avaliação, relatório, gerenciamento e remediação de vulnerabilidades cibernéticas em endpoints, workloads e sistemas. Normalmente, uma equipe de segurança utilizará uma ferramenta de gerenciamento de vulnerabilidades para detectar vulnerabilidades e utilizar diferentes processos para corrigi-las ou remediá-las.
Um forte programa de gerenciamento de vulnerabilidades usa inteligência de ameaças e conhecimento de TI e operações de negócios para priorizar os riscos e abordar as vulnerabilidades de cibersegurança o mais rápido possível.
Quais são as diferenças entre uma vulnerabilidade, um risco e uma ameaça?
Uma vulnerabilidade, conforme definida pela Organização Internacional para Padronização (ISO 27002), é "uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças".
Uma ameaça é algo que pode explorar uma vulnerabilidade.
Risco é o que acontece quando um ciberameaça explora uma vulnerabilidade. É o dano que pode ser causado pela vulnerabilidade aberta sendo explorada por uma ameaça.
Como a vulnerabilidade é classificada e categorizada?
O Sistema de Pontuação de Vulnerabilidade Comum (CVSS) é um padrão industrial gratuito e aberto que a CrowdStrike e muitas outras organizações de cibersegurança usam para avaliar e comunicar a gravidade e as características da vulnerabilidade de software. A pontuação CVSS varia de 0,0 a 10,0, e o Banco de Dados Nacional de Vulnerabilidade (NVD) adiciona uma classificação de gravidade para pontuações CVSS. As pontuações e classificações associadas do CVSS v3.0 são as seguintes:
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
O NVD também fornece uma biblioteca atualizada regularmente de vulnerabilidades e exposições comuns (CVEs), fornecendo classificações e outras informações associadas (como fabricante, nome do produto, versão, etc.). A lista de CVEs é originária da MITRE Corporation. MITRE é uma organização sem fins lucrativos que começou a documentar CVEs em 1999. Ela fornece informações básicas sobre cada vulnerabilidade e é sincronizada automaticamente com o NVD.
Qual é a diferença entre gerenciamento de vulnerabilidades e avaliação de vulnerabilidade
Gerenciamento de vulnerabilidades é diferente de avaliação de vulnerabilidade. O gerenciamento de vulnerabilidades é um processo contínuo, enquanto a avaliação de vulnerabilidade é uma avaliação única de um host ou rede. A avaliação de vulnerabilidade faz parte do processo de gerenciamento de vulnerabilidades, mas não vice-versa.
O processo de gerenciamento de vulnerabilidades
Há vários estágios no processo de gerenciamento de vulnerabilidades que os programas de gerenciamento de vulnerabilidades devem seguir. Embora existam diferentes maneiras de definir cada estágio do ciclo, o processo geralmente é o mesmo, mesmo que a terminologia varie.
Pré-trabalho para um programa de gerenciamento de vulnerabilidades
O framework de orientação de gerenciamento de vulnerabilidades do Gartner estabelece cinco etapas de “pré-trabalho” antes do início do processo:
- Etapa 1. Determinar o escopo do programa
- Etapa 2. Definir papéis e responsabilidades
- Etapa 3. Selecionar ferramentas de avaliação de vulnerabilidade
- Etapa 4. Criar e refinar políticas e SLAs
- Etapa 5. Identificar fontes de contexto ativo
Essa etapa de pré-trabalho avalia e mede recursos, processos e ferramentas atuais para identificar lacunas.
Durante a fase de pré-trabalho, um profissional de segurança deve fazer perguntas que podem ajudar a determinar o escopo do seu programa, incluindo:
- Quais ativos mediremos quanto a vulnerabilidades?
- Quais ativos ou hosts são mais críticos para proteger?
- Quem gerenciará este programa? Que papéis e responsabilidades eles têm?
- Quando uma vulnerabilidade é detectada, quanto tempo teremos para corrigi-la? Quais políticas ou acordos de nível de serviço (SLAs) precisamos definir? Com que frequência devemos avaliar nosso ativo em busca de vulnerabilidade ou fragilidades?
- Quais ferramentas ou software precisamos para gerenciar ou realizar a varredura de nossos hosts de forma eficaz?
- Que lista de ativos dos nossos tipos de ativos planejamos cobrir? Ou mais simplesmente, qual é o contexto dos ativos que desejamos gerenciar?
Com essas informações, você pode começar a implementar o processo de gerenciamento de vulnerabilidades.
Quais são as 5 etapas do ciclo de gerenciamento de vulnerabilidades
Existem cinco estágios principais no ciclo de gerenciamento de vulnerabilidades:
- Etapa 1. Avaliar
- Etapa 2. Priorizar
- Etapa 3. Agir
- Etapa 4. Reavaliar
- Etapa 5. Melhorar
Saiba mais
Acompanhe enquanto detalhamos cada etapa do processo de gerenciamento de vulnerabilidades e o que isso significa para o programa da sua organização.
Aprofundamento no ciclo de vida do gerenciamento de vulnerabilidades
Soluções de gerenciamento de vulnerabilidades: o que procurar
Gerenciar a exposição às vulnerabilidades conhecidas é a principal responsabilidade de um gerente de vulnerabilidade. Embora o gerenciamento de vulnerabilidades envolva mais do que simplesmente executar uma ferramenta de varredura, uma ferramenta ou conjunto de ferramentas de vulnerabilidade de alta qualidade pode melhorar drasticamente a implementação e o sucesso contínuo de um programa de gerenciamento de vulnerabilidades.
O mercado está repleto de opções e soluções, cada uma delas reivindicando qualidades de liderança. Ao avaliar uma solução de gerenciamento de vulnerabilidades, tenha em mente o seguinte:
A pontualidade é importante. Se uma ferramenta de gerenciamento de vulnerabilidades não consegue detectar a vulnerabilidade em tempo hábil, ela não é muito útil e não contribui para a proteção geral. É aqui que os scanners baseados em rede geralmente falham. Pode levar muito tempo para concluir uma varredura e consumir uma grande parte da valiosa largura de banda da sua organização, apenas para produzir informações imediatamente desatualizadas. É melhor escolher uma solução que dependa de um agente leve em vez de uma rede.
O impacto do desempenho em um endpoint é fundamental. Cada vez mais, os fabricantes afirmam oferecer soluções baseadas em agentes. Infelizmente, a maioria desses agentes é tão volumosa que afeta drasticamente o desempenho de um endpoint. Portanto, ao procurar uma ferramenta baseada em agente, procure uma com um agente leve — um que consuma muito pouco espaço em um endpoint para minimizar qualquer efeito na produtividade.
A visibilidade abrangente e em tempo real é fundamental. Você deve ser capaz de ver o que é vulnerável em um instante. Ferramentas de vulnerabilidade legadas podem dificultar a visibilidade — a varredura de rede leva muito tempo e fornece resultados desatualizados, agentes sobrecarregados diminuem a produtividade dos negócios e relatórios volumosos fazem pouco para ajudar a lidar com a vulnerabilidade de segurança em tempo hábil. Tecnologia sem varredura, como Falcon Spotlight permite que sua equipe veja e interaja com dados em tempo real. Um único dashboard interativo com funcionalidade de pesquisa e filtro permite que você aja imediatamente para fechar lacunas possivelmente perigosas na segurança da sua organização. Por ser uma solução sem varredura, ela está sempre em execução, constantemente procurando por fragilidades e identificando vulnerabilidades.
Menos é mais. As organizações não precisam mais de um conjunto complicado de ferramentas e soluções de segurança que exigem pessoal com habilidades especializadas. Em vez disso, muitas agora contam com uma plataforma integrada que inclui ferramentas de gerenciamento de vulnerabilidades, juntamente com outras ferramentas de segurança para higiene cibernética, detecção e resposta de endpoint (EDR), controle de dispositivos e muito mais — protegendo sua organização de ataques causados por sistemas desprotegidos.
Data sheet do Falcon Spotlight
Baixe a data sheet do Falcon Spotlight para aprender a abordagem da CrowdStrike para gerenciamento de vulnerabilidades.
Baixe agoraPerguntas frequentes sobre gerenciamento de vulnerabilidades
P: O que é gerenciamento de vulnerabilidades cibernéticas?
R: O gerenciamento de vulnerabilidades cibernéticas é o processo de identificar, avaliar, priorizar e remediar as fragilidades de segurança em sistemas, aplicações e redes de TI para reduzir o risco de ciberataques.
P: O que significa gerenciamento de vulnerabilidades?
R: O gerenciamento de vulnerabilidades refere-se a uma prática contínua de segurança que envolve execução de varreduras, análise e mitigação de vulnerabilidades na infraestrutura digital de uma organização a fim de manter a higiene da cibersegurança.
P: Qual é o papel da gestão de vulnerabilidades?
R: O papel do gerenciamento de vulnerabilidades é detectar proativamente falhas de segurança, avaliar seu impacto e implementar estratégias de remediação oportunas para proteger os sistemas contra exploração.
P: Quais são as cinco etapas do gerenciamento de vulnerabilidades?
R: As cinco etapas do gerenciamento de vulnerabilidades são:
- Identificação: varreduras de vulnerabilidades nos sistemas.
- Avaliação: análise dos níveis de risco das vulnerabilidades identificadas.
- Priorização: classificação das vulnerabilidades com base na gravidade e na possibilidade de exploração.
- Remediação: aplicação de correções, atualizações ou medidas de mitigação para resolver problemas de segurança.
- Monitoramento: acompanhamento contínuo das vulnerabilidades e reavaliação dos níveis de risco.
P: Quais são os quatro principais tipos de vulnerabilidade em cibersegurança?
R: Os quatro principais tipos de vulnerabilidades em cibersegurança são:
- Vulnerabilidades de rede: falhas nas configurações de segurança da rede.
- Vulnerabilidades do sistema operacional: falhas no software do sistema operacional que podem ser exploradas.
- Vulnerabilidades de aplicações: falhas de segurança em softwares e aplicações web.
- Vulnerabilidades humanas: riscos de engenharia social, como ataques de phishing e senhas fracas.
Bei Wang é Gerente Sênior de Marketing de Produtos na CrowdStrike, com foco em gerenciamento de vulnerabilidade e exposição. Ela possui ampla experiência em cibersegurança e TI empresarial, tendo ocupado cargos de marketing de produtos em startups de tecnologia, bem como em grandes fabricantes de tecnologia, incluindo Rapid7, Akamai e Red Hat. É apaixonada por uma abordagem holística da cibersegurança e pela desmistificação do gerenciamento de vulnerabilidades. Bei possui um MBA e é mestra em Engenharia Elétrica pelo MIT.
