Primeiro, é importante definir o termo, pois o gerenciamento de vulnerabilidades (VM) pode significar coisas diferentes para pessoas diferentes. Com isso em mente, definirei gerenciamento de vulnerabilidade como: o processo para determinar a necessidade de eliminar, atenuar ou tolerar vulnerabilidades com base no risco e no custo associado à correção das mesmas.
Dois outros termos relevantes que valem a pena definir são:
- Ameaça - pessoa, circunstância ou evento que tem o potencial de causar dano a um ativo organizacional ou função comercial
- Vulnerabilidade - falha no design, implementação ou administração de um sistema que possibilita uma ameaça de explorar a fraqueza de um sistema ou processo
Com esses termos agora definidos, aqui estão nove áreas principais que precisam estar implementadas para garantir que seu programa de gerenciamento de vulnerabilidades seja eficiente e ofereça alto valor à organização:
1. Identifique todos os ativos de rede
2. Defina ranking de criticidade de ativos (ACR)
3. Determine exposições e vulnerabilidades
4. Acompanhe as ameaças relevantes
5. Determine risco
6. Tome ações corretivas
7. Crie métricas
8. Identifique e resolva as lacunas de conformidade
9. Implemente um sistema automatizado de gerenciamento de vulnerabilidades
A primeira tarefa é indiscutivelmente a mais importante. Se você não sabe quais são os seus ativos de tecnologia, onde eles operam e os detalhes sobre eles, você fica simplesmente impotente para protegê-los. Vale lembrar a observação de Peter Drucker: você não consegue administrar o que não pode medir. De uma perspectiva de segurança da informação, você não pode proteger o que você não conhece.
Uma organização deve ter um inventário completo e uma fotografia de sua rede. Isso geralmente é realizado por meio de um processo de descoberta de rede, tendo como resultado um inventário abrangente que detalha todos os servidores, estações de trabalho, dispositivos de rede, laptops, desktops e toda a infraestrutura que estiver na rede. A capacidade de ter um inventário de ativos corporativo atual e atualizado é um aspecto essencial de um programa de gerenciamento de vulnerabilidades.
A última coisa que qualquer CIO, CTO ou CISO quer fazer é brincar de “Onde está o Wally?”, ao tentar encontrar um servidor que esteja violado. Mas essa situação pode ocorrer caso os recursos não estejam bem mapeados e o executivo não souber onde o servidor está fisicamente ou qual é seu endereço IP.
Por fim, assim como uma ferramenta de gerenciamento de vulnerabilidades é importante, não ignore a importância de ter uma equipe boa e treinada que saiba:
- Como operar a ferramenta
- Como entender o que a ferramenta oferece
- Como endereçar as muitas vulnerabilidades que o scanner de vulnerabilidades encontrará.
O gerenciamento de vulnerabilidades deve ser um componente padrão da estrutura de gerenciamento e regulamentação de segurança da informação em todas as organizações. Para saber como aproveitar ao máximo sua solução de gerenciamento de vulnerabilidades, assista ao meu webinar.
Temas relacionados
How to Use Vulnerability Assessment to Quantify & Reduce Cyber Risk (Blog)
Vulnerability Scanning Explained (Glossário)
Use Cases for Performing Vulnerability Assessments with Agent-Based Technology (Blog)
Change the Game in Vulnerability Management (White Paper)
Sample Vulnerability Management Policy (Template)
Ben Rothke, Senior Security Consultant, Nettitude
Ben Rothke (@benrothke) is a senior security consultant with Nettitude and has over 15 years of industry experience in information systems security and privacy. His career incorporates a successful track record across corporate and consulting roles, securing IT assets for numerous Fortune 1000 companies.
He is the author of Computer Security - 20 Things Every Employee Should Know (McGraw-Hill) and a speaker at industry conferences, such as RSA and MISTI, and holds numerous industry certifications.