Quase todos os bancos têm uma dor de cabeça no gerenciamento de vulnerabilidades, inclusive o meu. Estávamos imersos em vulnerabilidades e desafiados a descobrir quais remediar primeiro. Após a parceria com a equipe de hackers veteranos do IBM X-Force Red, alcançamos um nível significativamente melhor de controle sobre nossa situação de gerenciamento de vulnerabilidades e continuamos desfrutando de melhorias contínuas em práticas e resultados.
Nossa equipe estava sobrecarregada com um grande número de vulnerabilidades, incluindo um acúmulo de vulnerabilidades críticas que não estavam sendo reduzidas rápido o suficiente. Entre os problemas estava nossa incapacidade de transformar efetivamente os dados de tendências agregados em informações acionáveis para as pessoas responsáveis pela remediação.
A equipe X-Force Red mergulhou em nossa confusão de problemas. Quatro meses no programa, vimos uma redução de 60% nas vulnerabilidades críticas e uma redução de quase 45% nas vulnerabilidades totais.
As empresas de serviços financeiros são vítimas de ataques de segurança cibernética 300 vezes mais frequentemente do que as empresas de outros setores, e é por isso que nossa empresa investiu e priorizou nosso programa de gerenciamento de vulnerabilidades.
Tínhamos um acúmulo de vulnerabilidades altas e críticas. O grande volume tornou o relatório, a priorização e o acompanhamento dos problemas realmente desafiadores. Simplesmente faltava uma solução em escala empresarial para gerenciamento de vulnerabilidades.
Tínhamos uma solução ineficaz de planilhas complexas que extraíam um grande número de vulnerabilidades de vários sistemas e scanners, o que acabava deixando a equipe de Gerenciamento de Vulnerabilidades e outras equipes responsáveis pela aplicação de patches incapazes de desconstruir os relatórios complicados e detalhar os dados. Os relatórios mostraram um número geral de vulnerabilidades e um indicador-chave de risco baseado em fórmulas, mas precisávamos de informações sobre como essa métrica era calculada e quais vulnerabilidades estavam afetando sistemas específicos.
Nós nos sentimos paralisados. O resultado de nossos verificadores de vulnerabilidades nos permitiu ver quantas vulnerabilidades tínhamos, mas não conseguimos correlacionar de forma confiável os dados a sistemas e proprietários específicos. Sem relatórios eficazes, os administradores de sistemas não sabiam por onde começar com as correções e a equipe de vulnerabilidade não conseguia fornecer orientações úteis.
O estresse pesou sobre nossa equipe. Os dados eram tão opacos que parecia que estávamos perdendo o controle. Todos os meses, apresentávamos relatórios à gerência, esperando que os números de vulnerabilidade tendessem a diminuir, mas sabíamos que não estávamos controlando o resultado. Nós nos sentimos desamparados.
Além disso, nosso fornecedor na época não se apropriou das preocupações crescentes ou abordou os problemas com seu modelo de relatórios que estavam nos impedindo de fazer progressos. Precisávamos revisar nosso programa de gerenciamento de vulnerabilidades e mudar de fornecedor.
Buscamos um serviço com conhecimento especializado, ferramentas e inteligência para nos ajudar a corrigir o acúmulo de vulnerabilidades, principalmente as críticas. A escolha do X-Force Red Vulnerability Management Services em novembro de 2018 rapidamente se mostrou benéfica. A equipe de hackers veteranos da X-Force Red analisou imediatamente as diferentes áreas de tecnologia e as diferentes linhas de negócios da nossa empresa. Eles reformularam o modelo de dados, corrigiram problemas significativos de qualidade de dados e introduziram a automação que continuam aprimorando até hoje.
Enquanto anteriormente revisávamos manualmente cada vulnerabilidade e tentávamos decifrar quais entre milhões eram potencialmente as mais prejudiciais, a fórmula de classificação automatizada do X-Force Red nos ajudou a priorizar as vulnerabilidades mais críticas de forma mais eficiente e eficaz.
A equipe X-Force Red tornou a fórmula transparente, então sabíamos exatamente como o algoritmo funcionava. Aplicando sua mentalidade de hacker, a X-Force Red priorizou as vulnerabilidades com base no fato de os criminosos estarem utilizando-as como armas e no valor do ativo exposto. A priorização automatizada levou apenas alguns minutos, em comparação com dias com nossos métodos manuais anteriores. Essa rápida resposta nos ajudou a corrigir imediatamente as vulnerabilidades para evitar ataques e permitiu que os membros da minha equipe se concentrassem em outras tarefas.
Com a ajuda do X-Force Red, minha equipe conseguiu atribuir vulnerabilidades aos responsáveis pela remediação, mas também medir com mais facilidade o desempenho desses responsáveis ao longo do tempo. Nossa recém-descoberta capacidade de apoiar os proprietários de sistemas e responsabilizá-los impulsionou um grande progresso. O X-Force Red Vulnerability Management Services permite ajustes rápidos em nosso processo de geração de relatórios. Agora entendemos os dados que não conseguíamos decifrar há anos e podemos pedir para ver esses dados em um formato específico ou como uma fatia, tudo por causa dos serviços de gerenciamento de vulnerabilidades da X-Force Red.
Os números não mentem. Em apenas quatro meses em nossa parceria com a X-Force Red, observamos uma redução de 60% nas vulnerabilidades mais críticas e uma redução de 44% nas vulnerabilidades totais.
Agora estamos implementando o componente de facilitação de remediação do Vulnerability Management Services da X-Force Red para enviar nossos problemas mais importantes, em lotes gerenciáveis, para as equipes de administração de sistemas responsáveis por corrigi-los.
Além dos aspectos de geração de relatórios e rastreamento da prática de gerenciamento de vulnerabilidades, a equipe da X-Force Red também se responsabilizou por impulsionar melhorias em nossa infraestrutura de verificação. Somos capazes de verificar o ambiente quase duas vezes mais rápido graças às reconfigurações para eliminar verificações redundantes e corrigir problemas de configuração do scanner.
Nossa equipe está otimista em relação à nossa parceria contínua com a X-Force Red e ao impacto significativo que seus serviços de gerenciamento de vulnerabilidade têm em nossa segurança futura. Estou extremamente feliz, não é sempre que um parceiro excede as expectativas, mas, neste caso, o X-Force Red superou.
Legal
© copyright IBM corporation 2019. IBM corporation, IBM security, New orchard road, Armonk, NY 10504
Produzido nos Estados Unidos da América, Setembro de 2019.
IBM, o logotipo da IBM, ibm.com e X-Force são marcas registradas da International Business Machines Corp., registradas em muitas jurisdições no mundo inteiro. Outros nomes de produtos e serviços podem ser marcas comerciais da IBM ou de outras empresas. Há uma lista atualizada de marcas comerciais da IBM disponível na Web em "Copyright and trademark information" em https://<missing> ibm.com/legal/copyright-trademark.
Este documento é atual na data de sua publicação inicial, podendo ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países em que a IBM opera.
Os dados de desempenho e exemplos de clientes citados são apresentados apenas para fins ilustrativos. Os resultados reais de desempenho podem variar de acordo com configurações e condições operacionais específicas. AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO FORNECIDAS NO ESTADO EM QUE SEM ENCONTRAM, SEM QUALQUER GARANTIA, EXPRESSA OU IMPLÍCITA, INCLUINDO SEM QUAISQUER GARANTIAS DE COMERCIALIZAÇÃO, ADEQUAÇÃO A DETERMINADO FIM E QUALQUER GARANTIA OU CONDIÇÃO DE NÃO INFRAÇÃO. Os produtos IBM têm garantia de acordo com os termos e condições dos contratos sob os quais são fornecidos.
Declaração de boas práticas de segurança: a segurança do sistema de TI envolve proteger sistemas e informações por meio da prevenção, detecção e resposta a acessos inadequados de dentro e fora da empresa. O acesso indevido pode resultar na alteração, destruição, apropriação indevida ou uso indevido de informações ou pode resultar em danos ou uso indevido de seus sistemas, inclusive para uso em ataques a terceiros. Nenhum sistema ou produto de TI deve ser considerado completamente seguro e nenhum produto, serviço ou medida de segurança pode ser completamente eficaz na prevenção de uso ou acesso impróprio. Os sistemas, produtos e serviços IBM são projetados para fazer parte de uma abordagem de segurança legal e abrangente, que necessariamente envolverá procedimentos operacionais adicionais, e podem exigir outros sistemas, produtos ou serviços para serem mais eficazes. A IBM NÃO GARANTE QUE NENHUM DE SEUS SISTEMAS, PRODUTOS OU SERVIÇOS ESTEJA IMUNE NEM QUE TORNARÁ SUA EMPRESA IMUNE A CONDUTAS MALICIOSAS OU ILEGAIS POR PARTE DE TERCEIROS.