São Paulo/SP – 02 de marco de 2023. “A Gestão de Vulnerabilidades é um processo importante para a organização e que necessita de uma trilha de auditoria para fins futuros, assim como, ser um processo recorrente que possui sua efetividade periodicamente atestada”.
*Leandro Zilli
VISÃO GERAL
A Gestão de Vulnerabilidades é um processo que deve ser contemplado no Plano Diretor de Segurança da Informação e Cibersegurança, pois promove uma abordagem importante quanto a exposição da organização aos riscos, demonstrando que a Segurança da Informação deve ser aliada ao negócio.
Mas afinal, o que é uma vulnerabilidade? Segundo o capítulo de “Termos e definições” da ISO 27002:2022, vulnerabilidade é a “fraqueza de um ativo ou controle que pode ser explorado por uma ou mais ameaças”. Softwares desatualizados, falha no gerenciamento de credenciais de acesso, dispositivos de rede (firewalls, roteadores, servidores) mal configurados e desatualizados são alguns exemplos de vulnerabilidades. Em todos os casos essas vulnerabilidades possibilitam o acesso / exploração do ambiente e informações da organização por cibercriminosos.
PROTEÇÃO E CONFORMIDADE COM REQUISITOS REGULATÓRIOS:
O relatório de dezembro de 2022 da Trend Micro “Future Tense: Trend Micro Security Predictions for 2023” apresentou, entre diversas considerações, a tendencia de aumento nos ataques aos “pontos cegos” de segurança da infraestrutura sendo as VPNs um alvo atrativo, pois ao obter acesso através das vulnerabilidades ainda existentes (patches ou correções de configuração) é possível acessar diversas redes corporativas. Outro aspecto destacado é a não manutenção das vulnerabilidades e aplicação de patches nos roteadores domésticos, devido ao trabalho remoto/híbrido.
Também é importante mencionar que, cada vez mais, órgãos reguladores e de fiscalização estabelecem requisitos para que as organizações supervisionadas estabeleçam e mantenham um processo de Gestão de Vulnerabilidades.
Citamos como exemplo:
BACEN (Resolução CMN N° 4.893, de 26 de fevereiro de 2021)
“Art. 3º A política de segurança cibernética deve contemplar, no mínimo:
II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;”
SUSEP (Circular Nº 638 de 27 de julho de 2021)
“Art. 5º A supervisionada deverá possuir, e manter atualizados, processos, procedimentos e controles efetivos para:
I – identificar e reduzir vulnerabilidades de forma proativa; e
II – detectar, responder e recuperar-se de incidentes.”
CONSIDERAÇÕES QUANTO AO PROCESSO
O processo de Gestão de Vulnerabilidades é complexo e deve ser desenvolvido a partir dos pilares tecnologia, processos e pessoas, contemplando três importantes etapas:
Identificação
Uma premissa que permite uma Gestão de Vulnerabilidades eficaz é possuir um inventário de ativos sempre atualizado. Além disso, é imprescindível a utilização de ferramentas para suportar este inventário, podendo ser algo manual (planilhas Excel, sistemas proprietários) ou automatizado, por meio de soluções de mercado que permitem a instalação de clients nos ativos da infraestrutura.
Outras ações são importantes e necessárias como a realização recorrente de Scan de vulnerabilidades e, se possível, pentests, a fim de documentar e classificar as vulnerabilidades identificadas, assim como avaliar os relatórios de vulnerabilidades dos respectivos fabricantes sobre informações de patches ou alterações de configurações. Também é importante, conforme aplicável, o rastreamento de bibliotecas e códigos-fonte de terceiros, sendo também parte do processo de desenvolvimento seguro.
Pessoas devem ser indicadas e responsabilidades atribuídas, devendo seguir as diretrizes estabelecidas em boas práticas do mercado para acompanhar a execução e eficiência do processo, assim como, propor e executar melhorias possibilitando um aprimoramento contínuo.
Avaliação
Nesta etapa deve ser realizada a análise e verificação das vulnerabilidades identificadas, para determinar qual ação deverá ser executada de forma a mitigar os riscos associados, seja para aplicação de uma atualização (exemplo, patch) ou outra medida de controle (exemplo, desabilitar algum recurso).
Deve-se atentar para a origem destas informações sendo os fabricantes e entidades que tem atuação de forma idônea no combate as vulnerabilidades as mais indicadas.
Ações
A partir do momento que foi identificada a vulnerabilidade, avaliada e aprovada qual ação deve ser realizada, deve ser estabelecido um processo para que a correção seja executada de forma assertiva e sem impactos para a organização, com um cronograma, identificação das partes envolvidas (responsáveis, executores) possibilitando o planejamento e entendimento de todas as possíveis variáveis quais ativos e áreas da organização que serão impactados, aplicação das correções em ambiente de homologação, a realização de backup de dados e/ou configurações, provisionar a “janela” de alteração e para os casos de maior urgência e/ou impacto aplicar o protocolo de GMUD (Gestão de Mudanças) ou de resposta a incidentes de Segurança da Informação.
Nos casos em que não houver uma correção ou alteração a ser executada, deve ser avaliado se o fornecedor indica uma solução alternativa ou se é necessário executar outras medidas como a adição de camadas de proteção por meio de firewall, limitação de tráfego e a implementação de um monitoramento proativo, devido ao risco envolvido.
Além de assumir o risco, pode-se avaliar a possibilidade de desligar o ativo impactado.
CONSIDERAÇÕES FINAIS
Conforme foi possível identificar, a Gestão de Vulnerabilidades é um processo importante para a organização e que necessita de uma trilha de auditoria para fins futuros, assim como, ser um processo recorrente que possui sua efetividade periodicamente atestada.
É importante mencionar que podem existir outros pontos além dos abordados devido a questões regulatórias ou leis que a organização deverá seguir, assim como, questões contratuais onde na contratação de um serviço, haver em contrato as responsabilidades por parte do provedor do serviço quanto as tratativas das vulnerabilidades (exemplo, serviços em nuvem).
*Leandro Zilli é Consultor de GRC na Safeway
COMO PODEMOS AJUDAR?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 15 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa a estabelecer e executar o processo de gestão de vulnerabilidades em sua infraestrutura, aplicações web e mobile de forma pontual ou recorrente, possibilitando maior visibilidade, mitigação dos riscos associados e proteção do ambiente e imagem de sua organização. Caso deseje mais informações
