Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é gerenciamento de vulnerabilidades?
O gerenciamento de vulnerabilidades, um subdomínio do gerenciamento de riscos de TI, é a descoberta contínua, priorização e resolução de vulnerabilidades de segurança na infraestrutura e no software de TI de uma organização.
Uma vulnerabilidade de segurança é qualquer falha ou fraqueza na estrutura, funcionalidade ou implementação de uma rede ou ativo em rede que os hackers podem explorar para lançar ataques cibernéticos, obter acesso não autorizado a sistemas ou dados ou prejudicar uma organização.
Exemplos de vulnerabilidades comuns incluem configurações incorretas de firewall que podem permitir que determinados tipos de malware entrem na rede ou falhas não corrigidas no protocolo de área de trabalho remota de um sistema operacional que podem permitir que os hackers assumam o controle de um dispositivo.
As redes empresariais atuais são altamente distribuídas e novas vulnerabilidades são descobertas diariamente, tornando o gerenciamento de vulnerabilidades manual ou ad hoc praticamente impossível. As equipes de cibersegurança normalmente dependem de soluções de gerenciamento de vulnerabilidades para automatizar o processo.
O Center for Internet Security (CIS) lista o gerenciamento contínuo de vulnerabilidades como um de seus controles críticos de segurança (link fora de ibm.com) para a defesa contra os ataques cibernéticos mais comuns. O gerenciamento de vulnerabilidades permite que as equipes de segurança de TI adotem uma postura de segurança mais proativa, identificando e resolvendo vulnerabilidades antes que possam ser exploradas.
Como novas vulnerabilidades podem surgir a qualquer momento, as equipes de segurança abordam o gerenciamento de vulnerabilidades como um ciclo de vida contínuo, e não como um evento isolado. Esse ciclo de vida compreende cinco fluxos de trabalho contínuos e sobrepostos: descoberta, categorização e priorização, resolução, reavaliação e relatório.
1. Descoberta
O fluxo de trabalho de descoberta centra-se na avaliação de vulnerabilidades, um processo para verificar todos os ativos de TI de uma organização em busca de vulnerabilidades conhecidas e potenciais. Normalmente, as equipes de segurança automatizam esse processo usando softwares de scanner de vulnerabilidades. Alguns scanners de vulnerabilidades realizam verificações periódicas e abrangentes da rede em uma programação regular, enquanto outros usam agentes instalados em notebooks, roteadores e outros endpoints para coletar dados de cada dispositivo. As equipes de segurança também podem usar avaliações de vulnerabilidade episódicas, como testes de penetração, para localizar vulnerabilidades que escapam de um scanner.
2. Categorização e priorização
Uma vez identificadas, as vulnerabilidades são categorizadas por tipo (por exemplo, configurações incorretas de dispositivos, problemas de criptografia, exposições de dados sensíveis) e priorizadas por nível de criticidade. Esse processo fornece uma estimativa da gravidade, explorabilidade e probabilidade de ataque de cada vulnerabilidade.
As soluções de gerenciamento de vulnerabilidades normalmente recorrem a fontes de inteligência de ameaças, como o Common Vulnerability Scoring System (CVSS), um padrão aberto do setor de cibersegurança, para pontuar a criticidade das vulnerabilidades conhecidas em uma escala de 0 a 10. Outras fontes populares de inteligência são a lista de Vulnerabilidades e Exposições Comuns (CVEs) do MITRE e o Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST.
3. Resolução
Uma vez priorizadas, as vulnerabilidades podem ser resolvidas de três maneiras:
- Remediação —resolver completamente uma vulnerabilidade para que ela não possa mais ser explorada, como instalar um patch que corrige um bug de software ou desativar um ativo vulnerável. Muitas plataformas de gerenciamento de vulnerabilidades fornecem ferramentas de remediação, como gerenciamento de patches para downloads e testes automáticos de patches e gerenciamento de configuração para corrigir configurações incorretas de rede e dispositivos a partir de um dashboard ou portal centralizado
- Mitigação —tornar uma vulnerabilidade mais difícil de explorar e reduzir o impacto da exploração sem removê-la completamente. Manter um dispositivo vulnerável on-line, mas segmentá-lo do resto da rede, é um exemplo de mitigação. A mitigação é frequentemente realizada quando um patch ou outro meio de remediação ainda não está disponível.
- Aceitação —optar por deixar uma vulnerabilidade não resolvida. Vulnerabilidades com pontuações de criticidade baixa, que são improváveis de serem exploradas ou de causar danos significativos, são frequentemente aceitas.
4. Reavaliação
Quando as vulnerabilidades são resolvidas, as equipes de segurança realizam uma nova avaliação de vulnerabilidade para garantir que seus esforços de mitigação ou remediação funcionaram e não introduziram novas vulnerabilidades.
5. Relatórios
As plataformas de gerenciamento de vulnerabilidades normalmente fornecem dashboards para relatar métricas como o tempo médio para detectar (MTTD) e o tempo médio para responder (MTTR). Muitas soluções também mantêm bancos de dados de vulnerabilidades identificadas, permitindo que as equipes de segurança acompanhem a resolução das vulnerabilidades identificadas e auditem os esforços de gerenciamento de vulnerabilidades anteriores.
Esses recursos de relatório permitem que as equipes de segurança estabeleçam uma linha de base para atividades contínuas de gerenciamento de vulnerabilidades e monitorem o desempenho do programa ao longo do tempo. Os relatórios também podem ser usados para compartilhar informações entre a equipe de segurança e outras equipes de TI que podem ser responsáveis por gerenciar ativos, mas não estão diretamente envolvidas no processo de gerenciamento de vulnerabilidades.
O que é gerenciamento de vulnerabilidades baseado em riscos?
O gerenciamento de vulnerabilidades baseado em risco (RBVM) é uma abordagem relativamente nova para o gerenciamento de vulnerabilidades. Ο RBVM combina dados de vulnerabilidades específicos dos stakeholders com recursos de inteligência artificial e aprendizado de máquina para melhorar o gerenciamento de vulnerabilidades de três maneiras importantes.
Mais contexto para uma priorização mais eficaz. As soluções tradicionais de gerenciamento de vulnerabilidades determinam a criticidade usando recursos padrão do setor, como o CVSS ou o NIST NVD. Esses recursos dependem de generalidades que podem determinar a criticidade média de uma vulnerabilidade em todas as organizações. No entanto, eles carecem de dados específicos de stakeholders que podem resultar em uma super ou subpriorização da criticidade de uma vulnerabilidade para uma empresa específica.
Por exemplo, como nenhuma equipe de segurança tem tempo ou recursos para abordar todas as vulnerabilidades em sua rede, muitas priorizam vulnerabilidades com uma pontuação CVSS "alta" (7,0-8,9) ou "crítica" (9,0-10,0) . No entanto, se uma vulnerabilidade "crítica" existir em um ativo que não armazena ou processa informações sensíveis, ou não oferece caminhos para segmentos de alto valor da rede, a remediação pode não valer a pena.
Vulnerabilidades com pontuações CVSS baixas podem representar uma ameaça maior para algumas organizações do que para outras. O bug do Heartbleed, descoberto em 2014, foi classificado como "médio" (5,0) na escala CVSS (link fora de ibm.com). Mesmo assim, hackers o usaram para realizar ataques em larga escala, como roubar os dados de 4,5 milhões de pacientes (link fora de ibm.com) de uma das maiores redes hospitalares dos EUA.
O RBVM complementa a pontuação com dados de vulnerabilidades específicos dos stakeholders — o número e a criticidade do ativo afetado, como os ativos estão conectados a outros ativos e os danos potenciais que uma exploração pode causar — além de dados sobre como os cibercriminosos interagem com as vulnerabilidades no mundo real. Ele usa aprendizado de máquina para formular pontuações de risco que refletem mais precisamente o risco de cada vulnerabilidade para a organização especificamente. Isso permite que as equipes de segurança de TI priorizem um número menor de vulnerabilidades críticas sem sacrificar a segurança da rede.
Descoberta em tempo real. No RBVM, as varreduras de vulnerabilidade são frequentemente conduzidas em tempo real, em vez de em uma programação recorrente. Além disso, as soluções RBVM podem monitorar uma gama mais ampla de ativos: enquanto os scanners de vulnerabilidade tradicionais são geralmente limitados a ativos conhecidos conectados diretamente à rede, as ferramentas RBVM podem normalmente escanear dispositivos móveis locais e remotos, ativos em nuvem, aplicativos de terceiros e outros recursos.
Reavaliação automatizada. Em um processo RBVM, a reavaliação pode ser automatizada por varreduras contínuas de vulnerabilidade. No gerenciamento tradicional de vulnerabilidades, a reavaliação pode exigir uma varredura intencional da rede ou um teste de penetração.
Gerenciamento de vulnerabilidades e gerenciamento de superfície de ataque
O gerenciamento de vulnerabilidades está intimamente relacionado ao gerenciamento da superfície de ataque (ASM). ASM é a descoberta contínua, análise, remediação e monitoramento das vulnerabilidades e vetores de ataque potenciais que compõem a superfície de ataque de uma organização. A principal diferença entre ASM e gerenciamento de vulnerabilidades é uma questão de escopo. Enquanto ambos os processos monitoram e resolvem vulnerabilidades nos ativos de uma organização, ASM adota uma abordagem mais abrangente para a segurança da rede.
As soluções ASM incluem recursos de descoberta de ativos que identificam e monitoram todos os ativos conhecidos, desconhecidos, de terceiros, subsidiários e maliciosos conectados à rede. ASM também vai além dos ativos de TI para identificar vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização. Em seguida, analisa esses ativos e vulnerabilidades da perspectiva dos hackers para entender como os cibercriminosos podem usá-los para infiltrar a rede.
Com a ascensão do gerenciamento de vulnerabilidades baseado em risco (RBVM), as linhas entre gerenciamento de vulnerabilidades e ASM tornaram-se cada vez mais tênues. As organizações frequentemente implementam plataformas ASM como parte de sua solução RBVM, porque o ASM fornece uma visão mais abrangente da superfície de ataque do que apenas o gerenciamento de vulnerabilidades.
Soluções relacionadas
Adote um programa de gerenciamento de vulnerabilidades que identifique, priorize e gerencie a remediação de falhas que possam expor seus ativos mais críticos.
Gerencie o risco de TI, estabeleça estruturas de governança e aumente a maturidade da cibersegurança com uma abordagem integrada de governança, risco e conformidade.
Simplifique e otimize o gerenciamento de aplicativos e as operações de tecnologia com insights generativos orientados por IA.
Recursos
O gerenciamento da superfície de ataque ajuda as organizações a descobrir, priorizar e remediar vulnerabilidades a ciberataques.
O DevSecOps automaticamente incorpora segurança em cada fase do ciclo de vida do desenvolvimento de software.
As práticas e tecnologias de segurança de dados protegem informações digitais contra acesso não autorizado, corrupção ou roubo.
