O que é gerenciamento de vulnerabilidades?

Uma vulnerabilidade de segurança é qualquer falha ou fraqueza na estrutura, funcionalidade ou implementação de uma rede ou ativo conectado à rede que hackers podem explorar para lançar ataques cibernéticos, obter acesso não autorizado a sistemas ou dados ou causar danos a uma organização.

Exemplos de vulnerabilidades comuns incluem configurações incorretas de firewall que podem permitir a entrada de determinados tipos de malware na rede ou bugs não corrigidos no protocolo de área de trabalho remota de um sistema operacional que podem permitir que hackers assumam o controle de um dispositivo.

As redes corporativas atuais são tão distribuídas, e tantas novas vulnerabilidades são descobertas diariamente, que o gerenciamento de vulnerabilidades manual ou ad hoc se torna praticamente impossível. As equipes de segurança cibernética geralmente dependem de soluções de gerenciamento de vulnerabilidades para automatizar o processo.

O Center for Internet Security (CIS) lista o gerenciamento contínuo de vulnerabilidades como um dos seus controles críticos de segurança para se defender contra os ataques cibernéticos mais comuns. O gerenciamento de vulnerabilidades permite que as equipes de segurança de TI adotem uma postura de segurança mais proativa, identificando e resolvendo vulnerabilidades antes que possam ser exploradas.

Como novas vulnerabilidades podem surgir a qualquer momento, as equipes de segurança abordam o gerenciamento de vulnerabilidades como um ciclo de vida contínuo, e não como um evento isolado. Esse ciclo de vida compreende cinco fluxos de trabalho contínuos e sobrepostos: descoberta, categorização e priorização, resolução, reavaliação e geração de relatórios.

O fluxo de trabalho de descoberta gira em torno da avaliação de vulnerabilidades, um processo para verificar todos os ativos de TI da organização em busca de vulnerabilidades conhecidas e potenciais. Normalmente, as equipes de segurança automatizam esse processo usando software de scanner de vulnerabilidades. Alguns scanners de vulnerabilidades realizam varreduras de rede periódicas e abrangentes de acordo com um cronograma, enquanto outros usam agentes instalados em notebooks, roteadores e outros endpoints para coletar dados de cada dispositivo. As equipes de segurança também podem utilizar avaliações episódicas de vulnerabilidades, como testes de penetração, para localizar vulnerabilidades que escapam dos scanners.

Depois que as vulnerabilidades são identificadas, elas são categorizadas por tipo (por exemplo, configurações incorretas de dispositivos, problemas de criptografia, exposições de dados sensíveis) e priorizadas de acordo com o nível de criticidade. Esse processo fornece uma estimativa da gravidade, explorabilidade e probabilidade de ataque de cada vulnerabilidade.

As soluções de gerenciamento de vulnerabilidades geralmente se baseiam em fontes de inteligência sobre ameaças, como o Common Vulnerability Scoring System (CVSS), um padrão aberto do setor de segurança cibernética, para classificar a criticidade das vulnerabilidades conhecidas em uma escala de 0 a 10. Outras fontes populares de inteligência são a lista Common Vulnerabilities and Exposures (CVEs) da MITRE e o National Vulnerability Database (NVD) do NIST.

Depois que as vulnerabilidades são priorizadas, as equipes de segurança podem resolvê-las de três maneiras:

• Remediação:  solucionar totalmente uma vulnerabilidade para que ela não possa mais ser explorada, como instalando um patch que corrija um bug de software ou desativando um ativo vulnerável. Muitas plataformas de gerenciamento de vulnerabilidades oferecem ferramentas de remediação, como gerenciamento de patches para downloads automáticos e testes de patches, e gerenciamento de configurações para corrigir configurações incorretas de rede e dispositivos a partir de um dashboard ou portal centralizado.
• Mitigação:  tornar uma vulnerabilidade mais difícil de explorar e reduzir o impacto da exploração sem eliminar totalmente a vulnerabilidade. Deixar um dispositivo vulnerável on-line, mas segmentado do restante da rede, é um exemplo de mitigação. A mitigação é frequentemente aplicada quando um patch ou outro meio de remediação ainda não está disponível.
• Aceitação:  optar por deixar uma vulnerabilidade sem tratamento. Vulnerabilidades com pontuações de criticidade baixas, que têm pouca probabilidade de serem exploradas ou de causar danos significativos, são frequentemente aceitas.

Quando as vulnerabilidades são resolvidas, as equipes de segurança realizam uma nova avaliação de vulnerabilidades para garantir que os esforços de mitigação ou remediação foram eficazes e não introduziram novas vulnerabilidades.

As plataformas de gerenciamento de vulnerabilidades geralmente oferecem dashboards para geração de relatórios sobre métricas como tempo médio de detecção (MTTD) e tempo médio de resposta (MTTR). Muitas soluções também mantêm bancos de dados de vulnerabilidades identificadas, permitindo que as equipes de segurança acompanhem a resolução de vulnerabilidades e auditem os esforços anteriores de gerenciamento de vulnerabilidades.

Esses recursos de geração de relatórios permitem que as equipes de segurança estabeleçam uma linha de base para as atividades contínuas de gerenciamento de vulnerabilidades e monitorem o desempenho do programa ao longo do tempo. Os relatórios também podem ser usados para compartilhar informações entre a equipe de segurança e outras equipes de TI que gerenciam ativos, mas que não estão diretamente envolvidas no processo de gerenciamento de vulnerabilidades.

O gerenciamento de vulnerabilidades baseado em risco (RBVM) é uma abordagem relativamente nova para o gerenciamento de vulnerabilidades. O RBVM combina dados de vulnerabilidades específicos de stakeholders com recursos de inteligência artificial e aprendizado de máquina para aprimorar o gerenciamento de vulnerabilidades de três maneiras importantes.

Mais contexto para uma priorização mais eficaz. as soluções tradicionais de gerenciamento de vulnerabilidades determinam a criticidade usando recursos padrão do setor, como o CVSS ou o NVD do NIST. Esses recursos se baseiam em generalizações que determinam a criticidade média de uma vulnerabilidade em todas as organizações. No entanto, eles não consideram dados específicos de stakeholders que podem levar a uma superestimação ou subestimação perigosa da criticidade de uma vulnerabilidade para uma empresa específica.

Por exemplo, como nenhuma equipe de segurança tem tempo ou recursos para tratar todas as vulnerabilidades em sua rede, muitas priorizam vulnerabilidades com pontuação "alta" (7,0-8,9) ou "crítica" (9,0-10,0) no CVSS. No entanto, se uma vulnerabilidade "crítica" existir em um ativo que não armazena ou processa informações sensíveis, ou que não oferece caminhos para segmentos valiosos da rede, a remediação pode não valer a pena.

Vulnerabilidades com pontuações baixas no CVSS podem representar uma ameaça maior para algumas organizações do que para outras. O bug Heartbleed, descoberto em 2014, foi classificado como "médio" (5,0) na escala do CVSS. Ainda assim, hackers o utilizaram para realizar ataques em grande escala, como o roubo de dados de 4,5 milhões de pacientes de uma das maiores redes hospitalares dos Estados Unidos.

O RBVM complementa a pontuação com dados de vulnerabilidade específicos de stakeholders, o número e a criticidade do ativo afetado, como os ativos estão conectados a outros ativos e o dano potencial que uma exploração pode causar, além de dados sobre como cibercriminosos interagem com vulnerabilidades no mundo real. Ele utiliza aprendizado de máquina para formular pontuações de risco que refletem com mais precisão o risco que cada vulnerabilidade representa especificamente para a organização. Isso permite que as equipes de segurança de TI priorizem um número menor de vulnerabilidades críticas sem comprometer a segurança da rede.

Descoberta em tempo real. No RBVM, as varreduras de vulnerabilidades são frequentemente realizadas em tempo real, em vez de em um cronograma recorrente. Além disso, as soluções de RBVM podem monitorar uma gama mais ampla de ativos: enquanto os scanners tradicionais de vulnerabilidades geralmente se limitam a ativos conhecidos conectados diretamente à rede, as ferramentas de RBVM podem escanear dispositivos móveis locais e remotos, ativos em nuvem, aplicativos de terceiros e outros recursos.

Reavaliação automatizada. em um processo de RBVM, a reavaliação pode ser automatizada por meio de varredura contínua de vulnerabilidades. No gerenciamento tradicional de vulnerabilidades, a reavaliação pode exigir uma varredura de rede intencional ou um teste de penetração.

O gerenciamento de vulnerabilidades está intimamente relacionado ao gerenciamento da superfície de ataque (ASM). O ASM é a descoberta, análise, remediação e monitoramento contínuos das vulnerabilidades e dos vetores de ataque potenciais que compõem a superfície de ataque de uma organização. A principal diferença entre ASM e gerenciamento de vulnerabilidades está no escopo. Embora ambos monitorem e resolvam vulnerabilidades nos ativos da organização, o ASM adota uma abordagem mais abrangente para a segurança de rede.

As soluções de ASM incluem recursos de descoberta de ativos que identificam e monitoram todos os ativos conhecidos, desconhecidos, de terceiros, de subsidiárias e maliciosos conectados à rede. O ASM também vai além dos ativos de TI para identificar vulnerabilidades nas superfícies de ataque físicas e de engenharia social da organização. Em seguida, analisa esses ativos e vulnerabilidades do ponto de vista dos hackers para entender como cibercriminosos poderiam usá-los para infiltrar-se na rede.

Com o surgimento do gerenciamento de vulnerabilidades baseado em risco (RBVM), as linhas entre o gerenciamento de vulnerabilidades e o ASM ficaram cada vez mais tênues. As organizações frequentemente implementam plataformas de ASM como parte de suas soluções de RBVM, pois o ASM oferece uma visão mais abrangente da superfície de ataque do que apenas o gerenciamento de vulnerabilidades.