O que é gerenciamento de vulnerabilidades?

Uma vulnerabilidade de segurança é qualquer falha ou fraqueza na estrutura, funcionalidade ou implementação de uma rede ou ativo em rede que os hackers podem explorar para lançar ataques cibernéticos, obter acesso não autorizado a sistemas ou dados ou prejudicar uma organização.

Exemplos de vulnerabilidades comuns incluem configurações incorretas de firewall que podem permitir que determinados tipos de malware entrem na rede ou falhas não corrigidas no protocolo de área de trabalho remota de um sistema operacional que podem permitir que os hackers assumam o controle de um dispositivo.

As redes empresariais atuais são altamente distribuídas e novas vulnerabilidades são descobertas diariamente, tornando o gerenciamento de vulnerabilidades manual ou ad hoc praticamente impossível. As equipes de cibersegurança normalmente dependem de soluções de gerenciamento de vulnerabilidades para automatizar o processo.

O Center for Internet Security (CIS) lista o gerenciamento contínuo de vulnerabilidades como um de seus controles críticos de segurança para a defesa contra os ataques cibernéticos mais comuns. O gerenciamento de vulnerabilidades permite que as equipes de segurança de TI adotem uma postura de segurança mais proativa, identificando e resolvendo vulnerabilidades antes que possam ser exploradas.

Como novas vulnerabilidades podem surgir a qualquer momento, as equipes de segurança abordam o gerenciamento de vulnerabilidades como um ciclo de vida contínuo, e não como um evento isolado. Esse ciclo de vida compreende cinco fluxos de trabalho contínuos e sobrepostos: descoberta, categorização e priorização, resolução, reavaliação e relatório.

O fluxo de trabalho de descoberta gira em torno da avaliação de vulnerabilidades, um processo para verificar todos os ativos de TI da organização em busca de vulnerabilidades conhecidas e potenciais. Normalmente, as equipes de segurança automatizam esse processo usando um software de scanner de vulnerabilidades. Alguns scanners de vulnerabilidades realizam varreduras de rede periódicas e abrangentes de acordo com um cronograma, enquanto outros usam agentes instalados em notebooks, roteadores e outros endpoints para coletar dados de cada dispositivo. As equipes de segurança também podem utilizar avaliações episódicas de vulnerabilidades, como testes de penetração, para localizar vulnerabilidades que escapam dos scanners.

Uma vez identificadas, as vulnerabilidades são categorizadas por tipo (por exemplo, configurações incorretas de dispositivos, problemas de criptografia, exposições de dados sensíveis) e priorizadas por nível de criticidade. Esse processo fornece uma estimativa da gravidade, explorabilidade e probabilidade de ataque de cada vulnerabilidade.

As soluções de gerenciamento de vulnerabilidades geralmente se baseiam em fontes de inteligência sobre ameaças, como o Common Vulnerability Scoring System (CVSS), um padrão aberto do setor de cibersegurança, para classificar a criticidade das vulnerabilidades conhecidas em uma escala de 0 a 10. Outras fontes populares de inteligência são a lista Vulnerabilidades e exposições comuns (CVEs) da MITRE e o National Vulnerability Database (NVD) do NIST.

Uma vez priorizadas, as vulnerabilidades podem ser resolvidas de três maneiras:

• Remediação: lidar completamente com uma vulnerabilidade para que ela não possa mais ser explorada, como instalar um patch que corrige um bug de software ou desativar um ativo vulnerável. Muitas plataformas de gerenciamento de vulnerabilidades fornecem ferramentas de remediação, como gerenciamento de patches para downloads e testes automáticos de patches e gerenciamento de configuração para corrigir configurações incorretas de rede e dispositivos a partir de um dashboard ou portal centralizado
• Mitigação: tornar uma vulnerabilidade mais difícil de explorar e reduzir o impacto da invasão sem removê-la completamente. Manter um dispositivo vulnerável online, mas segmentá-lo do resto da rede, é um exemplo de mitigação. A mitigação é frequentemente realizada quando um patch ou outro meio de remediação ainda não está disponível. 
• Aceitação: optar por deixar uma vulnerabilidade não resolvida. Vulnerabilidades com pontuações de criticidade baixa, que são improváveis de serem exploradas ou de causar danos significativos, são frequentemente aceitas.

Quando as vulnerabilidades são resolvidas, as equipes de segurança realizam uma nova avaliação de vulnerabilidade para garantir que seus esforços de mitigação ou remediação funcionaram e não introduziram novas vulnerabilidades.

As plataformas de gerenciamento de vulnerabilidades normalmente fornecem dashboards para relatar métricas como o tempo médio para detectar (MTTD) e o tempo médio para responder (MTTR). Muitas soluções também mantêm bancos de dados de vulnerabilidades identificadas, permitindo que as equipes de segurança acompanhem a resolução das vulnerabilidades identificadas e auditem os esforços de gerenciamento de vulnerabilidades anteriores.

Esses recursos de geração de relatórios permitem que as equipes de segurança estabeleçam uma linha de base para as atividades contínuas de gerenciamento de vulnerabilidades e monitorem o desempenho do programa ao longo do tempo. Os relatórios também podem ser usados para compartilhar informações entre a equipe de segurança e outras equipes de TI que gerenciam ativos, mas que não estão diretamente envolvidas no processo de gerenciamento de vulnerabilidades.

O gerenciamento de vulnerabilidades baseado em risco (RBVM) é uma abordagem relativamente nova para o gerenciamento de vulnerabilidades. Ο RBVM combina dados de vulnerabilidades específicos dos stakeholders com recursos de inteligência artificial e aprendizado de máquina para melhorar o gerenciamento de vulnerabilidades de três maneiras importantes.

Mais contexto para uma priorização mais eficaz. As soluções tradicionais de gerenciamento de vulnerabilidades determinam a criticidade usando recursos padrão do setor, como o CVSS ou o NIST NVD. Esses recursos dependem de generalidades que podem determinar a criticidade média de uma vulnerabilidade em todas as organizações. No entanto, eles carecem de dados específicos de stakeholders que podem resultar em uma super ou subpriorização da criticidade de uma vulnerabilidade para uma empresa específica.

Por exemplo, como nenhuma equipe de segurança tem tempo ou recursos para abordar todas as vulnerabilidades em sua rede, muitas priorizam vulnerabilidades com uma pontuação CVSS "alta" (7,0-8,9) ou "crítica" (9,0-10,0) . No entanto, se uma vulnerabilidade "crítica" existir em um ativo que não armazena ou processa informações sensíveis, ou não oferece caminhos para segmentos de alto valor da rede, a remediação pode não valer a pena.

Vulnerabilidades com pontuações CVSS baixas podem representar uma ameaça maior para algumas organizações do que para outras. O bug do Heartbleed, descoberto em 2014, foi classificado como "médio" (5,0) na escala CVSS. Mesmo assim, hackers o usaram para realizar ataques em larga escala, como roubar os dados de 4,5 milhões de pacientes de uma das maiores redes hospitalares dos EUA.

O RBVM complementa a pontuação com dados de vulnerabilidade específicos de stakeholders, o número e a criticidade do ativo afetado, como os ativos estão conectados a outros ativos e o dano potencial que uma exploração pode causar, além de dados sobre como cibercriminosos interagem com vulnerabilidades no mundo real. Ele utiliza aprendizado de máquina para formular pontuações de risco que refletem com mais precisão o risco que cada vulnerabilidade representa especificamente para a organização. Isso permite que as equipes de segurança de TI priorizem um número menor de vulnerabilidades críticas sem comprometer a segurança da rede.

Descoberta em tempo real. No RBVM, as varreduras de vulnerabilidade são frequentemente conduzidas em tempo real, em vez de em uma programação recorrente. Além disso, as soluções RBVM podem monitorar uma gama mais ampla de ativos: enquanto os scanners de vulnerabilidade tradicionais são geralmente limitados a ativos conhecidos conectados diretamente à rede, as ferramentas RBVM podem normalmente escanear dispositivos móveis locais e remotos, ativos em nuvem, aplicativos de terceiros e outros recursos.

Reavaliação automatizada. Em um processo RBVM, a reavaliação pode ser automatizada por varreduras contínuas de vulnerabilidade. No gerenciamento tradicional de vulnerabilidades, a reavaliação pode exigir uma varredura intencional da rede ou um teste de inserção.

O gerenciamento de vulnerabilidades está intimamente relacionado ao gerenciamento da superfície de ataque (ASM). O ASM é a descoberta, análise, remediação e monitoramento contínuos das vulnerabilidades e dos vetores de ataque potenciais que compõem a superfície de ataque de uma organização. A principal diferença entre ASM e gerenciamento de vulnerabilidades está no escopo. Embora ambos monitorem e resolvam vulnerabilidades nos ativos da organização, o ASM adota uma abordagem mais abrangente para a segurança da rede.

As soluções ASM incluem recursos de descoberta de ativos que identificam e monitoram todos os ativos conhecidos, desconhecidos, de terceiros, subsidiários e maliciosos conectados à rede. ASM também vai além dos ativos de TI para identificar vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização. Em seguida, analisa esses ativos e vulnerabilidades da perspectiva dos hackers para entender como os cibercriminosos podem usá-los para infiltrar a rede.

Com a ascensão do gerenciamento de vulnerabilidades baseado em risco (RBVM), as linhas entre gerenciamento de vulnerabilidades e ASM tornaram-se cada vez mais tênues. As organizações frequentemente implementam plataformas ASM como parte de sua solução RBVM, porque o ASM fornece uma visão mais abrangente da superfície de ataque do que apenas o gerenciamento de vulnerabilidades.