Entenda o que é gestão de vulnerabilidade e quais são as métricas mais importantes dentro dessa estratégia!
Com a crescente transformação digital pela qual as empresa estão passando, a gestão de vulnerabilidade se torna cada vez mais urgente. Ela reúne os esforços de segurança da informação, um trabalho proativo que evita inclusive prejuízos financeiros.
Neste artigo, além de aprofundar o conceito de gestão de vulnerabilidade, vamos apontar quais são as métricas mais importantes a serem acompanhadas para garantir uma maior segurança.
Continue lendo para entender!
O que é gestão de vulnerabilidade
Podemos definir gestão de vulnerabilidade como o processo de identificação, avaliação, tratamento e geração de relatórios sobre vulnerabilidades de segurança nos sistemas e aplicativos executados na operação empresarial. Ela é vital para as organizações priorizarem possíveis ameaças e minimizarem sua “superfície de ataque“.
As vulnerabilidades de segurança, por sua vez, referem-se às fraquezas tecnológicas que permitem que os invasores comprometam os sistemas as informações que eles contêm. Esse processo precisa ser executado continuamente para acompanhar as novas tecnologias adicionadas às redes, as alterações feitas nos sistemas e a descoberta de novos pontos sensíveis ao longo do tempo.
Para se ter uma ideia da importância da gestão de vulnerabilidade, basta olharmos para algumas estatísticas:
-
o comércio eletrônico sofre mais de R$ 3,6 mil em tentativas de fraude por minuto no Brasil, segundo levantamento da ClearSale;
-
há uma escalada de vulnerabilidade na nuvem nos últimos anos em todo o mundo, dizem pesquisadores da Palo Alto Networks;
-
em 2019, os ataques de negação de serviços cresceram 90% no Brasil, de acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).
Em suma, podemos dizer que uma empresa faz uma boa gestão de vulnerabilidade quando ela emprega ferramentas e métodos em um processo que percorre as quatro etapas a seguir:
-
identificação de vulnerabilidades;
-
avaliação de vulnerabilidades;
-
tratamento de vulnerabilidades;
-
geração contínua de relatórios de vulnerabilidades.
7 métricas fundamentais de gestão de vulnerabilidade
Agora, é impossível identificar, avaliar, tratar e relatar vulnerabilidades sem acompanhá-las de perto. Isso significa que é preciso definir essas vulnerabilidades e monitorá-las rotineiramente.
É aí que entram as métricas de gestão de vulnerabilidade que, em síntese, são medidas baseadas em uma ou mais referências que servem para mensurar o grau de vulnerabilidade/ameaça em um determinado sistema ou item de infraestrutura de TI.
Confira, a seguir, quais são as métricas mais fundamentais que devem ser acompanhadas em uma estratégia de gestão de vulnerabilidade!
1. Cobertura
Para sistemas ou aplicativos críticos para os negócios, a cobertura é uma métrica extremamente relevante, que inclui a compreensão do tipo de digitalização.
É, por exemplo, baseado em agente, autenticado com um nome de usuário e senha ou não é autenticado por completo?
Isso fornece uma visão qualitativa ao selecionar os dados do ativo, além de esclarecer o escopo de riscos desconhecidos pela equipe de TI.
2. Tempo de detecção
Essa métrica é o delta de quando uma vulnerabilidade é criada até o momento em que ela é detectada.
Por exemplo, o tempo decorrente de quando um usuário instala um aplicativo vulnerável até o momento em essa ação é descoberta. Quanto menor for esse período, menos riscos a empresa vai correr.
3. Tempo de permanência
O foco principal aqui é o tempo em que uma vulnerabilidade conhecida vive no ambiente tecnológico.
Frequentemente, quanto maior o tempo de permanência da vulnerabilidade no ambiente, mais caro será o ataque. Quanto mais crítica for a aplicação, mais importante será essa métrica.
Se você não tiver essa resposta, provavelmente deverá começar a avaliar as ferramentas, os processos e a equipe que precisa para ver como vai apresentar esses dados.
4. Tempo para contenção ou atenuação
Essa métrica indica a rapidez com que os ataques são contidos ou quanto tempo a atenuação de uma vulnerabilidade leva.
A rapidez para a resolução de uma vulnerabilidade pode ser crucial, especialmente em sistemas que fazem muitas operações por segundo. Um eventual ataque pode ser evitado de maneira antecipada, ou pode ser neutralizado em tempo hábil.
5. Número médio de vulnerabilidades ao longo do tempo
A parte importante dessa métrica é “ao longo do tempo”. Se você não medir as vulnerabilidades por um período contínuo, dependerá incorretamente dos resultados da verificação, que podem não ter visto todos os ativos durante uma verificação e refletir quedas que, na realidade, são simplesmente desvios.
Em outras palavras, você precisa medir o número de vulnerabilidades continuamente em toda a infraestrutura, para evitar depender erroneamente de lacunas na verificação.
6. Eficiência no gerenciamento de patches
Essa métrica contribui para o entendimento dos ciclos de patches e dos esforços de correção.
Ela é diferente do tempo para contenção ou atenuação, por exemplo, porque esses esforços são baseados em agendamentos regulares de lançamento de patches de fornecedores, como o Patch Tuesday da Microsoft.
7. Resultados de correção em relação aos SLAs
Como rapidamente uma organização corrige com sucesso (ou sem êxito) as vulnerabilidades e a velocidade com que elas ocorrem tem um tremendo impacto nos objetivos de negócios.
Ao avaliar os resultados da correção em relação a um acordo de nível de serviço (service level agreement —SLA), você pode avaliar a eficácia da correção comparando-a com o tempo e os recursos disponíveis.
Como você viu, a gestão de vulnerabilidade é uma estratégia fundamental para os negócios modernos.
Aqui na Nova8 temos ajudado muitas empresas a reduzirem suas superfícies de ataque, por meio de consultoria e serviços especializados em segurança da informação. Por isso, acreditamos que a boa gestão de vulnerabilidade pode tornar tudo mais seguro e tranquilo para os negócios.
Você entendeu o que é gestão de vulnerabilidade? Faça contato conosco e veja como podemos ajudá-lo neste desafio!
