No mundo da tecnologia, é consenso geral que a totalidade da segurança é uma utopia. A inconstância da segurança se deve ao surgimento incessante de novas vulnerabilidades, tornando a busca pela segurança perfeita um objetivo móvel e inatingível. Entretanto, esta realidade não deve levar à complacência, mas sim, ao desenvolvimento de estratégias eficazes de segurança.
“Novas vulnerabilidades estão surgindo o tempo todo, e as empresas precisam estar atentas às várias camadas de segurança. Segurança é feita em camadas, e o trabalho envolve pessoas, skills, conscientização e adoção de soluções tecnológicas adequadas”, aponta André Rocha, CISO na Braskem.
Para isso, existe a gestão de vulnerabilidades, que nada mais é do que um reforço da segurança, que evita a violação de dados e elimina possíveis brechas que possam ser usadas por hackers e outras ameaças cibernéticas.
O que é gestão de vulnerabilidade?
Como o nome já diz, a gestão de vulnerabilidades gerencia possíveis ataques e instabilidades de segurança, identificando, analisando e corrigindo problemas de vulnerabilidades em sistemas, redes e computadores. Por vezes, ela é automatizada, utilizando a praticidade das IA’s (Inteligências Artificiais), e mantém uma equipe de segurança especializada em TI para identificar e corrigir os problemas.
Qual a importância da gestão de vulnerabilidades?
Esse processo envolve a análise de infraestruturas e ambientes para identificar e corrigir possíveis pontos fracos. Uma agenda de manutenção e atualização deve ser estabelecida para garantir que as vulnerabilidades sejam tratadas de forma eficaz. Além disso, os programas de teste de phishing são fundamentais para educar os usuários sobre os perigos dos e-mails de phishing e ajudá-los a reconhecer e evitar essas ameaças.
“Os principais ataques hoje, o hacker vai lá e manda um e-mail tentando realmente ‘pescar’ aquele usuário que tem as credenciais, e as pessoas caem. A pessoa clica no link e, de certa forma, coloca as credenciais ali. Então, é importante, também na composição desse programa, que esses dois itens também sejam trabalhados para compor um programa mais consistente de segurança.” (André Rocha – CISO, Braskem)
Em resumo, a segurança cibernética é uma composição complexa que requer a harmonia de várias camadas de defesa. As empresas devem estar cientes da importância de cada camada e fazer o esforço necessário para fortalecer cada uma delas. A escolha de um fornecedor de segurança comprometido com a evolução e o suporte, juntamente com a gestão eficaz de vulnerabilidades, pode fazer a diferença entre se manter seguro ou cair vítima de uma ameaça cibernética.
Como fazer o gerenciamento de vulnerabilidade?
A gestão de vulnerabilidades requer muita atenção e planejamento. Dotada de 4 passos, Rocha destaca que é extremamente importante entender e escanear a própria infraestrutura, entendendo quais são as vulnerabilidades existentes e trabalhando num programa de agenda de manutenção e atualização desses ambientes.
1- Identificação
Identificar os ativos que possam estar em situação vulnerável é o primeiro passo na hora de garantir a segurança dos dados da sua empresa.
2- Avaliação
Existem duas abordagens comuns para conduzir uma avaliação de vulnerabilidade: usar uma solução que escaneie toda a rede ou um sensor instalado em cada ativo separadamente.
Na primeira abordagem, todos os ativos precisam estar logados na mesma rede, onde a varredura é feita e os ativos mais vulneráveis são identificados. Porém, essa solução pode não ser muito eficaz se levarmos em conta que, para muitas organizações, o nível de credenciamento necessário para executar uma varredura de vulnerabilidade bem-sucedida é complexo, o que pode levar a um resultado incompleto de quais ativos são seguros e quais não são.
Além disso, com uma solução de vulnerabilidade tradicional, os plugins são quase sempre adicionados à ferramenta (o que pode ser centenas ou milhares de componentes) e nem todos “funcionam bem” com o software utilizado pela empresa. Isso aumenta o tempo necessário para verificar um host e pode até interromper um ambiente em funcionamento.
Já a segunda abordagem, apesar de parecer mais precisa, se torna inviável se pensarmos que a maioria dos scanners de vulnerabilidades requerem instalações de agentes muito pesados que sobrecarregam extensivamente um endpoint, reduzindo ou travando os sistemas enquanto executam varreduras. Devido ao impacto significativo no desempenho da rede e dos scanners de varredura, muitas vezes, é necessário varrer uma parte do ambiente de cada vez, o que retarda o processo de avaliação. Ao ir devagar ou segmentar os sistemas, as equipes de segurança podem evitar interrupções na conexão e falhas no sistema. No entanto, isso inibe o objetivo de verificar vulnerabilidades em todos os hosts relevantes em um tempo hábil para, em seguida, resolvê-los.
Após a verificação, tem-se um relatório – um documento enorme e volumoso que os analistas devem examinar para determinar as áreas certas que precisam ser corrigidas. Outro desafio com esse tipo de varredura e seu método de relatório é novamente a pontualidade. Assim que um relatório é gerado, ele fica desatualizado, e novas vulnerabilidades podem passar despercebidas durante meses.
Uma alternativa encontrada para otimizar o tempo e garantir uma maior eficácia na hora de escanear vulnerabilidades é a microssegmentação. Com ela, os ativos da rede são divididos em blocos, como pequenas redes particulares, o que facilita a sua monitoração e evita que uma ameaça possa migrar para outro ativo antes de ser contida a tempo. Com a microssegmentação, também, as aplicações não param caso um ativo for comprometido, pois ele é facilmente identificado, isolado e corrigido antes que a rede seja prejudicada.
“Com a microssegmentação eu consigo definir que aquela aplicação vai funcionar. Então, por mais que o servidor tenha sido contaminado, eu garanto que aquela aplicação continua funcionando, porque eu disse que naquele servidor, aquele processo, é o componente que eu preciso falar na minha rede.” – Léo Feijó, especialista em Soluções Zero Trust e Microssegmentação na Akamai.
3 – Classificação
Depois de identificar e avaliar quais ativos estão vulneráveis, está na hora de classificar e priorizar as próximas ações:
Priorize
Como você já identificou quais ativos estão com mais criticidade, faça a priorização do mais grave para o mais simples para correção.
Avalie
Com sua lista de ativos priorizados, avalie a exposição de cada ativo às ameaças de vulnerabilidades. Isso requer um pouco de investigação e pesquisa para determinar o nível de risco para cada um.
Comunique
A comunicação com sua equipe de segurança e o uso de um poderoso conjunto de ferramentas de endpoint são indispensáveis. Um mergulho profundo na inteligência de ameaças (coletada internamente e de fontes de terceiros) pode alterar drasticamente o nível de risco avaliado e priorizado nas etapas 1 e 2.
4- Correção
Existem três ações que você pode adotar com base nas informações coletadas na etapa de classificação:
Aceitar o risco
Quando o ativo tem uma exposição muito baixa às vulnerabilidades e seu estado não está crítico, aceitar o risco costuma ser a melhor política.
Administrar
Você pode atenuar cada vulnerabilidade ou desenvolver uma estratégia para dificultar ou impossibilitar que um invasor explore a vulnerabilidade. Isso não a remove, mas as políticas ou proteções que você implementa mantêm seus sistemas seguros.
Corrigir
Essa é a opção preferida caso a vulnerabilidade for conhecida como de alto risco e/ou fizer parte de um sistema ou ativo crítico em sua empresa. Corrija ou atualize o ativo antes que ele se torne um ponto de entrada para um ataque.
5 – Monitoramento
Depois de priorizar sua lista de vulnerabilidades e atribuir ações com base no nível de exposição, é hora de reavaliar e monitorar seu trabalho. Uma reavaliação lhe dirá se as ações que você decidiu foram bem-sucedidas e se há novos problemas em torno dos mesmos ativos, permitindo que você valide seu trabalho, risque esses problemas de sua lista e adicione novos, se necessário.
Os melhores programas de gerenciamento de vulnerabilidades visam a melhoria consistente, fortalecendo as defesas, trabalhando ativamente para eliminar problemas subjacentes, reavaliando a fase pré-trabalho e revisitando as primeiras questões pós-trabalho. Ao examinar regularmente todo o ciclo de vida da vulnerabilidade e procurar maneiras de evoluir e melhorar, você pode se defender de forma proativa contra qualquer tipo de vulnerabilidade que um invasor possa usar para ameaçar sua empresa.
Como classificar as vulnerabilidades?
O Common Vulnerability Scoring System (CVSS) é um critério de avaliação aberto que várias outras organizações de segurança usam para avaliar e informar a gravidade e as características das vulnerabilidades de software. A pontuação básica do CVSS varia de 0,0 a 10,0, e o National Vulnerability Database (NVD) adiciona uma classificação de gravidade para as pontuações do CVSS, que varia de none a critical. As pontuações do CVSS v3.0 e as classificações associadas são:
Boas Práticas da Gestão de Vulnerabilidades?
Entender a segurança no mundo da tecnologia é como lidar com um equilíbrio delicado. Não existe um estado de 100% de segurança; sempre surgem novas vulnerabilidades, tornando o campo da segurança digital um processo contínuo, sempre em constante mutação e adaptação. Um ponto fundamental a ter em mente é que a segurança é feita em camadas. Cada camada tem seu papel na proteção de ativos valiosos, e a falha em uma única camada não deve comprometer todo o sistema.
Várias soluções compõem essas camadas de segurança, como GuardCore e Akamai, pensadas para proteção externa. Essas ferramentas são projetadas para bloquear determinados códigos, como a injeção de código na sua aplicação web, aumentando a segurança geral do sistema.
Segurança em Múltiplas camadas
A segurança cibernética (é uma orquestra complexa, composta por múltiplos instrumentos, cada um tocando em harmonia para produzir uma melodia coesa de defesa. Esses instrumentos, ou camadas, incluem usuários, tecnologias, processos e resiliência. Cada camada é fundamental, desempenhando um papel crucial na proteção contra ameaças virtuais.
Com o intuito de proteger a infraestrutura de TI, as empresas precisam estar atentas às várias camadas de segurança, pois ela é mais eficaz quando várias medidas de segurança são aplicadas em diferentes pontos da rede para proteger contra ameaças variadas.
- Usuário
- Tecnologia
- Processos
- Resiliência
O usuário é a primeira linha de defesa, e deve ser educado e consciente sobre os ataques cibernéticos. Seguindo, temos as tecnologias de proteção – softwares e hardwares que defendem contra invasões maliciosas. Além disso, os processos de monitoramento devem ser implementados para rastrear atividades suspeitas e responder a elas prontamente. A última camada, resiliência, é o plano de recuperação em caso de um incidente. A questão não é “se” um incidente de segurança ocorrerá, mas “quando”. A resiliência inclui a implementação e o teste regular de backups, o que é crucial para uma recuperação eficiente após um incidente como um ataque de ransomware.
“Eu preciso ter um bom backup e preciso testar o meu backup regularmente porque, se eu tiver um incidente de ransomware, e, de certa forma, os meus dados forem criptografados, eu tenho um backup. A questão é: em quanto tempo eu consigo voltar ao meu backup e restaurar a operação?” (André Rocha – CISO, Braskem)
Escolha de um fornecedor de segurança
A seleção de um fornecedor de segurança é um passo crucial para fortalecer as camadas de defesa. As empresas devem escolher um fornecedor que não apenas ofereça soluções eficazes, mas também esteja comprometido com a evolução e o suporte de seus produtos, pois as ameaças cibernéticas estão em constante mudança. As empresas devem questionar se o fornecedor escolhido se conectará com suas tecnologias existentes e estará disposto a crescer e evoluir para atender às necessidades futuras. Empresas como a Akamai e a Guardcore são exemplos de fornecedores que demonstraram um compromisso contínuo com a evolução de suas soluções para atender às necessidades de seus clientes.
Segundo pesquisa da Gartner, até 2025, mais de 60% dos fornecedores de segurança adotarão a política de Zero Trust (confiança zero), o que substitui a confiança intrínseca pela confiança orientada ao risco. Medida esta que se faz necessária pelo aumento exponencial de ameaças previstas para os próximos anos. Porém, como esse assunto não depende somente de softwares e investimentos, é necessário uma mudança cultural e comportamental dos usuários na hora de identificar possíveis golpes.
O fator humano na segurança cibernética
A segurança eficaz, no entanto, vai além da tecnologia. As pessoas e suas habilidades desempenham um papel crucial na manutenção da segurança. Por isso, é necessário um programa de conscientização robusto que destaque a importância de comportamentos seguros. As pessoas devem entender que um único clique pode ter consequências catastróficas, não apenas para a empresa, mas também para suas vidas pessoais.
“Se estou na dúvida, não clico no e-mail, nem no link que eu não conheço e que pode trazer riscos para mim, para a minha família e para a empresa onde eu trabalho.” (André Rocha – CISO, Braskem)
Proteger os usuários e seus dispositivos requer a implementação de soluções tecnológicas adequadas. As ferramentas de segurança, como antivírus, XDR (Extended Detection and Response) e MDR (Managed Detection and Response), são projetadas para entender o comportamento dos usuários e tomar medidas de proteção baseadas nesse comportamento. Essas soluções podem variar desde ações automáticas até alertas para o usuário, dependendo da situação.
Centro de Operações de Segurança (SOC)
Outro elemento crucial na defesa cibernética é o Centro de Operações de Segurança (SOC). O SOC monitora continuamente os logs de todas as soluções de segurança implementadas e fornece um time de especialistas atentos 24/7 para identificar qualquer atividade suspeita. Essa equipe é responsável por identificar se um ataque está ocorrendo, se um hacker conseguiu entrar ou se há algum invasor dentro do ambiente digital da empresa.
O monitoramento contínuo é crucial para identificar possíveis invasões e ataques. Por isso os Centros de Operações e Segurança (SOCs) são fundamentais para as empresas, pois captam logs de todas as soluções implementadas e proporcionam uma análise ininterrupta da infraestrutura.
Microssegmentação
A microssegmentação pode ser considerada outra camada extra de proteção essencial, voltada para a proteção dos servidores, principalmente contra ataques laterais. Essa estratégia de segurança limita o movimento de um invasor dentro do sistema, prevenindo o comprometimento de todo o sistema em caso de uma violação de segurança. “Às vezes, os usuários não entendem que suas credenciais foram comprometidas e o hacker conseguiu acessar e criar uma porta dos fundos, um backdoor na sua máquina”, complementa André.
Gestão de vulnerabilidades: trabalho sem fim?
Entender que novas vulnerabilidades aparecerão todos os dias faz parte do trabalho. Mesmo sabendo que os atacantes cibernéticos podem usar vulnerabilidades antigas, seja de dois a três anos atrás, é preciso estar sempre atento para não cair em nenhuma armadilha, o que torna a gestão de vulnerabilidades um trabalho árduo e sem fim. “Hoje, eu estou protegido, mas, amanhã, não estarei. É um trabalho ingrato, mas ele precisa ser feito”, conclui André Rocha, CISO na Braskem.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow diretamente no seu email.