Junto às iniciativas de inovação do setor financeiro, tradicional alavancador do mercado de TI e cibersegurança, outros fatores têm acentuado a atenção ao Gestão de Vulnerabilidades. Grandes players de e-commerce perdem reputação com violações de base de dados ou fraudes de credenciais, enquanto indústrias de todos os segmentos também temem enfrentar outros "arrastões" como foi o WannaCry.
A demanda por soluções de Gestão de Vulnerabilidades acabou atraindo fornecedores globais, que investiram mais em estrutura a parcerias locais. É boa notícia. A qualidade da tecnologia (metodologias, automação e outros recursos) faz muita diferença. Encontramos hoje suítes integradas, soluções discretas, ofertas em appliances, em nuvem e uma variedade de ferramentas, com seus diferenciais e desvantagens em cada caso de negócio.
A atual geração de ferramentas de Gestão de Vulnerabilidades traz métodos mais eficazes e os produtos oferecem vários conjuntos de informações e relatórios. A contrapartida é a complexidade de navegar nessa abundância de dados e filtrar o ruído para chegar ao que é relevante. O desafio seria ainda maior se for diluído entre outras tarefas da agenda de cibersegurança. Nas centrais dos provedores de serviços gerenciados de segurança (MSSP), as equipes podem contar com analistas que "respiram" as questões relacionadas a notificações de vulnerabilidades, as modalidades de exploração em ataques, e, assim, são capazes de "digerir" o manancial de informações, para priorizar o que realmente afeta cada cliente.
A questão essencial não é tecnologia. Chegar às Melhores Práticas de Serviços de Gestão de Vulnerabilidades requer um olhar criterioso para riscos, processos e outros itens específicos de cada organização.
Gestão de patches – a varredura dos sistemas com falhas de segurança e a aplicação de atualizações – que muitas vezes se confunde com a própria Gestão de Vulnerabilidades – são processos que requerem algumas decisões, independente da ferramenta.
Uma abordagem que tem sido comum para agregar agilidade e efetividade é criar processos com escopo mais focado em varredura e correção. Ou seja, em vez de se ter uma sequência linear de descoberta e aplicação de patches, o trabalho é feito ao estilo dos sprints dos modelos ágeis. Entre as vantagens, além de se mitigar gaps entre a descoberta e a execução das correções, essa prática evita que o trabalho sobre os ativos mais críticos seja contaminado pela agenda relacionada a vulnerabilidades de baixo risco.
Outro ponto de atenção importante é a gestão de mudanças. Um caso típico é o de aplicações legadas que os usuários consideram fundamental ao negócio, mesmo que rodem em plataformas inseguras. Existem várias alternativas de contornar, embora exijam manobras em outras camadas, como segmentação de rede, autenticação forte e orquestração de firewall.
A questão da gestão de mudanças também deve ser fortemente considerada quando se pensa em automação da aplicação de patches.
Inteligência de ameaças, score de risco e priorização – as plataformas e os serviços gerenciados mais maduros de Gestão de Vulnerabilidades já vão além do relatório e fornecem um dimensionamento dos riscos, conforme os assessments e outros critérios. Outro recurso importante é correlacionar as varreduras com informações do SIEM (sistema de correlação de eventos), mapas globais de ataques e inteligência de ameaças.
DevSecOps, fazer certo desde o começo – com o apoio de ferramentas de DAST (testes dinâmicos de segurança de aplicações), IAST (testes interativos), SAST (testes estáticos) e novas metodologias, a gestão de vulnerabilidades entra na trilha de desenvolvimento, minimizando os riscos e custos de mitigação.
Responsabilidades em ambientes multicloud – no modelo de responsabilidade compartilhada da AWS, ou da Azure, a incumbência de aplicação de patches e gestão das plataformas varia conforme a modalidade (IaaS, PaaS ou SaaS). Há ainda serviços agregados e opcionais, como o AWS Inspector. Na prática, em vários casos constatamos que a mitigação de vulnerabilidades na nuvem passa por uma simples configuração correta dos recursos já existentes, uma ação relativamente sem custo, que por si só evita os incidentes mais comuns.
OT, IoT, e dispositivos industriais no mapa de vulnerabilidades – equipamentos com poucos recursos computacionais, software com ciclo de atualização longo (por exemplo, redes de automação com sistemas legados) e outros elementos, mesmo que fiquem em redes paralelas à de TI, também precisam ter seus riscos relacionados a falhas e ataques mitigados.
Risco operacional; segurança não é só prevenção ao crime – em ambientes cada vez mais complexos e cheios de interdependências, a gestão não se restringe às vulnerabilidades que possam ser exploradas de forma dolosa. A descoberta de pontos sob risco de sobrecarga ou outros comprometimentos à disponibilidade e performance pode ser incluída na estratégia de Gestão de Vulnerabilidades.
Alinhamento a certificações e auditorias de compliance – o uso de varreduras específicas pré-configuradas para atender a normas e regulações, como PCI DSS (o padrão de segurança da indústria de pagamentos) ou a normativas técnicas do Banco Central acelera os programas de compliance. Em caso de incidentes, o regulador tende a considerar fortemente a qualidade da política de Gestão de Vulnerabilidades para dosar as eventuais penalidades.
Avaliar, monitorar e testar sempre – do ponto de vista organizacional, demonstrar as descobertas e os resultados do programa de Gestão de Vulnerabilidades aos stake holders pode ser importante para validar investimentos e conquistar mais colaboração das áreas de negócios. No operacional, manter o valor desse Gestão requer processos contínuos de monitoramento, teste e resposta.
Considere um provedor de Serviços Gerenciados de Segurança – as atuais ferramentas, seja em appliances on premise ou em nuvem, têm modelos simplificados de licenciamento e implementação, e várias delas já agregam alguma inteligência aos relatórios, com score de risco e outros facilitadores. Recursos de automação e orquestração também viabilizam o trabalho das equipes de segurança. Contudo, o suporte de um MSSP (provedor de serviços gerenciados de segurança) tende a agregar procedimentos mais eficientes e sistemáticos de varredura, testes de penetração e remediação, com repertório de ferramentas, times multidisciplinares de analistas e experiência com as Melhores Práticas de Serviços de Gestão de Vulnerabilidades.
Adriano Ribeiro, cybersecurity manager da CYLK e Captain of the FireShell Security Team.