Todos os meses, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) adiciona mais de 2.000 novas vulnerabilidades de segurança ao National Vulnerability Database. As equipes de segurança não precisam monitorar todas essas vulnerabilidades, mas precisam de uma maneira de identificar e resolver aquelas que representam uma ameaça potencial aos seus sistemas. É para isso que serve o ciclo de vida do gerenciamento de vulnerabilidades.
O ciclo de vida do gerenciamento de vulnerabilidades é um processo contínuo de descoberta, priorização e resolução de vulnerabilidades nos ativos de TI de uma empresa.
Um ciclo normal de gerenciamento de vulnerabilidades inclui cinco etapas:
O ciclo de vida do gerenciamento de vulnerabilidades permite que as organizações melhorem sua postura de segurança, adotando uma abordagem mais estratégica para o gerenciamento de vulnerabilidades. Em vez de reagir a novas vulnerabilidades conforme elas surgem, as equipes de segurança procuram ativamente falhas em seus sistemas. As organizações podem identificar as vulnerabilidades mais críticas e colocar proteções em prática antes que os invasores ajam.
Uma vulnerabilidade é qualquer fraqueza na estrutura, função ou implementação de uma rede ou ativo que hackers podem explorar para prejudicar uma empresa.
As vulnerabilidades podem surgir de falhas fundamentais na construção de um ativo. Foi o caso da infame vulnerabilidade Log4J, em que erros de codificação em uma biblioteca Java popular permitiam que hackers executassem malwares remotamente nos computadores das vítimas. Outras vulnerabilidades surgem de erros humanos, como uma configuração incorreta de um bucket de armazenamento em nuvem, que expõe dados sensíveis à internet pública.
Toda vulnerabilidade é um risco para as organizações. De acordo com o relatório da IBM X-Force Threat Intelligence Index, a exploração de vulnerabilidades é o segundo vetor de ataque cibernético mais comum. O X-Force também descobriu que o número de novas vulnerabilidades aumenta a cada ano, com 23.964 registradas apenas em 2022.
Os hackers têm um estoque crescente de vulnerabilidades à disposição. Em resposta, as empresas tornaram o gerenciamento de vulnerabilidades um componente essencial de suas estratégias de gerenciamento de riscos cibernéticos. O ciclo de vida do gerenciamento de vulnerabilidades oferece um modelo formal para programas eficazes de gerenciamento de vulnerabilidades em um cenário de ameaças cibernéticas em constante mudança. Com a adoção do ciclo de vida, as organizações podem experimentar alguns dos seguintes benefícios:
Novas vulnerabilidades podem surgir em uma rede a qualquer momento, por isso o ciclo de vida do gerenciamento de vulnerabilidades é um ciclo contínuo, em vez de uma série de eventos distintos. Cada rodada do ciclo de vida alimenta diretamente a próxima. Um ciclo normal geralmente contém os seguintes estágios:
Tecnicamente, o planejamento e o pré-trabalho ocorrem antes do início do ciclo de vida do gerenciamento de vulnerabilidades, daí a designação "Estágio 0". Durante esse estágio, a organização define os detalhes críticos do processo de gerenciamento de vulnerabilidades, incluindo:
As organizações não passam por esse estágio antes de cada ciclo do gerenciamento de vulnerabilidades. Geralmente, uma empresa realiza uma fase extensiva de planejamento e pré-trabalho antes de lançar um programa formal de gerenciamento de vulnerabilidades. Quando o programa está em funcionamento, os stakeholders revisitam regularmente o planejamento e as atividades preparatórias para ajustar suas diretrizes e estratégias, se necessário.
O ciclo de vida do gerenciamento formal de vulnerabilidades começa com um inventário de ativos, um catálogo de todo o hardware e software na rede da organização. O inventário inclui aplicativos e endpoints oficialmente sancionados e todos os ativos de TI invisível que os funcionários usam sem aprovação.
Como novos ativos são adicionados regularmente às redes da empresa, o inventário de ativos é atualizado antes de cada rodada do ciclo de vida. As empresas costumam usar ferramentas de software, como plataformas de gerenciamento de superfície de ataque, para automatizar seus inventários.
Após identificar os ativos, a equipe de segurança os avalia em busca de vulnerabilidades. A equipe pode utilizar uma combinação de ferramentas e métodos, incluindo scanners automatizados de vulnerabilidades, testes de penetração manuais e inteligência de ameaças externas da comunidade de cibersegurança.
Avaliar cada ativo em todas as etapas do ciclo de vida seria uma tarefa pesada, por isso as equipes de segurança geralmente trabalham em grupos. Cada rodada do ciclo de vida foca em um grupo específico de ativos, com os grupos mais críticos sendo avaliados com mais frequência. Algumas ferramentas avançadas de escaneamento de vulnerabilidades avaliam continuamente todos os ativos da rede em tempo real, permitindo que a equipe de segurança adote uma abordagem mais dinâmica para a descoberta de vulnerabilidades.
A equipe de segurança prioriza as vulnerabilidades encontradas no estágio de avaliação. A priorização garante que a equipe lide primeiro com as vulnerabilidades mais críticas. Este estágio também ajuda a equipe a evitar dedicar tempo e recursos a vulnerabilidades de baixo risco.
Para priorizar as vulnerabilidades, a equipe considera os seguintes critérios:
A equipe de segurança lida com a lista de vulnerabilidades priorizadas, começando pelas mais críticas até as menos críticas. A equipe de segurança lida com a lista de vulnerabilidades priorizadas, começando pelas mais críticas até as menos críticas.
Para verificar se os esforços de mitigação e remediação funcionaram conforme o esperado, a equipe de segurança realiza novas varreduras e testes nos ativos que acabaram de ser trabalhados. Essas auditorias têm dois objetivos principais: determinar se a equipe de segurança tratou com sucesso todas as vulnerabilidades conhecidas e garantir que a mitigação e a remediação não introduziram novos problemas.
Como parte desse estágio de reavaliação, a equipe de segurança também monitora a rede de forma mais ampla. A equipe procura por novas vulnerabilidades desde a última varredura, mitigações antigas que se tornaram obsoletas ou outras alterações que possam exigir ação. Todas essas descobertas ajudam a informar a próxima rodada do ciclo de vida.
A equipe de segurança documenta as atividades da rodada mais recente do ciclo de vida, incluindo vulnerabilidades encontradas, etapas de resolução tomadas e os resultados. Esses relatórios são compartilhados com stakeholders relevantes, incluindo executivos, proprietários de ativos, departamentos de conformidade e outros.
A equipe de segurança também reflete sobre como a rodada mais recente do ciclo de vida foi conduzida. A equipe pode avaliar métricas importantes, como o tempo médio para detectar (MTTD), o tempo médio para responder (MTTR), o número total de vulnerabilidades críticas e as taxas de recorrência de vulnerabilidades. Ao monitorar essas métricas ao longo do tempo, a equipe de segurança pode estabelecer uma base de referência para o desempenho do programa de gerenciamento de vulnerabilidades e identificar oportunidades para melhorar o programa. As lições aprendidas em uma rodada do ciclo de vida podem tornar a próxima mais efetiva.
O gerenciamento de vulnerabilidades é uma tarefa complexa. Mesmo com um ciclo de vida formal, as equipes de segurança podem se sentir como se estivessem procurando agulhas em palheiros ao tentar localizar vulnerabilidades em vastas redes corporativas.
A IBM X-Force Red pode ajudar a simplificar o processo. A equipe X-Force Red oferece serviços abrangentes de gerenciamento de vulnerabilidades, trabalhando com organizações para identificar ativos críticos, descobrir vulnerabilidades de alto risco, corrigir completamente as fraquezas e aplicar contramedidas eficazes.
O IBM Security QRadar Suite pode apoiar ainda mais equipes de segurança com recursos limitados com uma solução modernizada de detecção e resposta a ameaças. O QRadar Suite integra segurança de endpoints, gerenciamento de logs, produtos SIEM e SOAR em uma interface de usuário comum e incorpora automação corporativa e IA para ajudar os analistas de segurança a aumentar sua produtividade e trabalhar de forma mais eficaz em diferentes tecnologias.