O gerenciamento de vulnerabilidades, um subdomínio do gerenciamento de risco de TI, é a descoberta contínua, priorização e resolução de vulnerabilidades de segurança na infra-estrutura e software de TI de uma organização.

Uma vulnerabilidade de segurança é qualquer falha ou fraqueza na estrutura, funcionalidade ou implementação de uma rede ou ativo em rede que os hackers podem explorar para executar os ataques cibernéticos, obter acesso não autorizado a sistemas ou dados, ou prejudicar de outra forma uma organização. Os exemplos de vulnerabilidades comuns incluem configurações errôneas de firewall que podem permitir que certos tipos de malware entrem na rede, ou bugs não corrigidos no protocolo de desktop remoto de um sistema operacional que pode permitir que hackers assumam o controle de um dispositivo.

Como as redes empresariais de hoje estão tão distribuídas e tantas novas vulnerabilidades são descobertas todos os dias, o gerenciamento eficaz manual ou ad hoc de vulnerabilidades é praticamente impossível. As equipes de segurança cibernética geralmente confiam nas soluções de gerenciamento de vulnerabilidades para automatizar o processo.

O Centro para Segurança da Internet (CIS) lista o gerenciamento contínuo de vulnerabilidades como um de seus Controles Críticos de Segurança (link externo à IBM.com) para se defender de ataques cibernéticos mais comuns. O gerenciamento de vulnerabilidades permite que as equipes de segurança de TI adotem uma postura de segurança mais proativa, identificando e resolvendo vulnerabilidades antes que elas possam ser exploradas. 

Como novas vulnerabilidades podem surgir a qualquer momento, as equipes de segurança abordam o gerenciamento de vulnerabilidades como um ciclo de vida contínuo em vez de um evento discreto. Este ciclo de vida compreende cinco fluxos de trabalho contínuos e sobrepostos: descoberta, categorização e priorização, resolução, reavaliação e relatórios.

1. Descoberta

O fluxo de trabalho de descoberta centra-se na avaliação da vulnerabilidade, um processo para verificar todos os ativos de TI de uma organização em busca de vulnerabilidades possíveis e conhecidas. Normalmente, as equipes de segurança automatizam este processo usando um software de varredura de vulnerabilidades. Alguns scanners de vulnerabilidade realizam varreduras de rede periódicas e abrangentes em uma programação regular, enquanto outros usam agentes instalados em laptops, roteadores e outros pontos terminais para coletar dados em cada dispositivo. As equipes de segurança também podem usar avaliações de vulnerabilidade sistêmicas, tais como testes de invasão, para localizar vulnerabilidades que possam escapar de uma varredura.  

2. Categorização e Priorização

Uma vez identificadas as vulnerabilidades, elas são categorizadas por tipo (por exemplo, configurações erradas do dispositivo, questões de criptografia, exposição de dados sensíveis) e priorizadas por grau de severidade, sendo uma estimativa da severidade de cada vulnerabilidade, capacidade de exploração e probabilidade de desencadear um ataque.

Para determinar o grau de severidade, as soluções de gerenciamento de vulnerabilidades normalmente se baseiam em fontes de inteligência de ameaças como o Sistema Comum de Pontuação de Vulnerabilidade (CVSS), um padrão aberto da indústria de segurança cibernética que pontua a o grau de severidade das vulnerabilidades conhecidas em uma escala de 0 a 10; a lista de Vulnerabilidades e Exposições Comuns (CVEs) do MITRE; e o Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST. 

3. Resolução

Uma vez que as vulnerabilidades tenham sido priorizadas, as equipes de segurança podem resolvê-las de três maneiras:

• Remediação - solucionando completamente uma vulnerabilidade para que ela não possa mais ser explorada, por exemplo, instalando um patch que conserte um bug de software ou retirando um ativo vulnerável. Muitas plataformas de gerenciamento de vulnerabilidades fornecem ferramentas de remediação, tais como gerenciamento de patches, para downloads e testes automáticos de patches, e gerenciamento de configuração, para solucionar erros de configuração de rede e dispositivos a partir de um dashboard ou portal centralizado.
• Mitigação- tornando uma vulnerabilidade mais difícil de explorar, e/ou diminuindo o impacto da exploração sem remover totalmente a vulnerabilidade. Deixar um dispositivo vulnerável on-line, mas segmentá-lo do resto da rede seria um exemplo de mitigação. A mitigação é geralmente realizada quando uma correção ou outro meio de remediação ainda não está disponível. 
• Aceitação- optar por deixar uma vulnerabilidade por resolver. As vulnerabilidades com pontuações de baixo grau de severidade, que provavelmente não serão exploradas ou não causarão danos significativos, são frequentemente aceitas. 

4. Reavaliação

Quando as vulnerabilidades são resolvidas, as equipes de segurança normalmente conduzem uma nova avaliação de vulnerabilidade para garantir que seus esforços de mitigação ou remediação funcionaram e não introduziram nenhuma nova vulnerabilidade.

5. Relatórios

As plataformas de gerenciamento de vulnerabilidades normalmente fornecem painéis para relatórios sobre métricas como tempo médio para detectar (MTTD) e tempo médio para responder (MTTR). Muitas soluções também mantêm bancos de dados de vulnerabilidades identificadas, que permitem às equipes de segurança rastrear a resolução das vulnerabilidades identificadas e auditar esforços anteriores de gerenciamento de vulnerabilidades.

Estes recursos de relatórios permitem às equipes de segurança estabelecer uma linha de base para atividades contínuas de gerenciamento de vulnerabilidades e monitorar o desempenho do programa ao longo do tempo. Os relatórios também podem ser usados para compartilhar informações entre a equipe de segurança e outras equipes de TI que podem ser responsáveis pelo gerenciamento de ativos, mas não diretamente envolvidas no processo de gerenciamento de vulnerabilidades. 

O gerenciamento de vulnerabilidades baseado em risco (RBVM) é uma abordagem relativamente nova para o gerenciamento de vulnerabilidades. O RVBM combina dados de vulnerabilidade específicos de stakeholders com inteligência artificial e recursos de machine learning para melhorar o gerenciamento de vulnerabilidades de três maneiras importantes.

Mais contexto para uma priorização mais eficaz. Conforme observado acima, as soluções tradicionais de gerenciamento de vulnerabilidades determinam o grau de severidade utilizando recursos padrão da indústria, como o CVSS ou o NIST NVD. Esses recursos contam com generalidades que podem determinar o grau de severidade média de uma vulnerabilidade em todas as organizações. Mas faltam dados de vulnerabilidades específicos de stakeholders que podem resultar em uma perigosa sobre ou subpriorização do grau de severidade de uma vulnerabilidade para uma empresa específica.

Por exemplo, como nenhuma equipe de segurança tem tempo ou recursos para resolver cada vulnerabilidade em sua rede, muitos priorizam as vulnerabilidades com uma pontuação "alta" (7,0-8,9) ou "crítica" (9,0-10,0) no CVSS. Mas se existe uma vulnerabilidade "crítica" em um ativo que não armazena ou não processa informações sensíveis, ou não oferece caminhos para segmentos de alto valor da rede, a remediação pode ser uma má alocação do valioso tempo da equipe de segurança. Por outro lado, as vulnerabilidades com baixas pontuações CVSS podem ser mais uma ameaça para algumas organizações do que para outras. O Heartbleed bug, descoberto em 2014, foi classificado como "médio" (5,0) na escala CVSS (link externo à IBM.com), mas os hackers o utilizaram para provocar ataques em larga escala, como roubar os dados de 4,5 milhões de pacientes (link externo à IBM.com) de uma das maiores cadeias hospitalares dos EUA.

A RBVM complementa a pontuação com dados de vulnerabilidade específicos de stakeholders, o número e o grau de severidade do ativo afetado, como os ativos estão conectados a outros ativos e os possíveis danos que uma exploração pode causar, bem como dados sobre como os criminosos cibernéticos interagem com as vulnerabilidades no mundo real. Ela usa o machine learning para formular pontuações de risco que reflitam mais precisamente o risco de cada vulnerabilidade para a organização. Isto permite que as equipes de segurança de TI priorizem um número menor de vulnerabilidades críticas sem sacrificar a segurança da rede.

Descoberta em tempo real. Na RBVM, as varreduras de vulnerabilidade são frequentemente realizadas em tempo real, e não em um cronograma recorrente. Além disso, as soluções RBVM podem monitorar uma gama mais ampla de ativos: enquanto os scanners tradicionais de vulnerabilidade são normalmente limitados a ativos conhecidos diretamente conectados à rede, as ferramentas RBVM podem tipicamente escanear dispositivos móveis remotos e locais, ativos em cloud, aplicativos de terceiros e outros recursos.

Reavaliação automatizada. Em um processo RBVM, a reavaliação pode ser realizada automaticamente por varredura contínua de vulnerabilidade. No gerenciamento tradicional de vulnerabilidades, a reavaliação pode exigir uma varredura intencional da rede ou um teste de penetração. 

O gerenciamento de vulnerabilidades está intimamente relacionado ao gerenciamento de superfícies de ataque (ASM). O ASM é a descoberta contínua, análise, remediação e monitoramento das vulnerabilidades e possíveis vetores de ataque que compõem a superfície de ataque de uma organização. A principal diferença entre o ASM e o gerenciamento de vulnerabilidades é o escopo. Enquanto ambos os processos monitoram e resolvem vulnerabilidades nos ativos de uma organização, o ASM adota uma abordagem mais holística da segurança da rede. 

As soluções ASM incluem recursos de descoberta de ativos que identificam e monitoram todos os ativos conhecidos, desconhecidos, de terceiros, subsidiários e maliciosos conectados à rede. O ASM também se estende além dos ativos de TI para identificar vulnerabilidades nas superfícies de ataque da engenharia física e social de uma organização. Em seguida, analisa esses ativos e vulnerabilidades sob a perspectiva de hackers, para entender como os cibercriminosos podem usá-los para se infiltrar na rede.

Com o aumento do gerenciamento de vulnerabilidades baseado em risco (RBVM), as linhas entre o gerenciamento de vulnerabilidades e o ASM têm se tornado cada vez mais tênues. As organizações frequentemente implementam plataformas ASM como parte de sua solução RBVM, porque o ASM proporciona uma visão mais abrangente da superfície de ataque do que apenas o gerenciamento de vulnerabilidades.