Ciência e Tecnologia

Como construir um programa eficaz de gerenciamento de vulnerabilidades

Foto de Strong Strongnovembro 21, 2022
0 6 minutos de leitura

.

Para gerenciar as vulnerabilidades de sua empresa de maneira eficaz, vale a pena passar por várias etapas preparatórias. É necessário primeiro avaliar a infraestrutura de TI e os processos atuais de segurança da informação, identificar os tipos de vulnerabilidades mais perigosos, determinar as áreas de responsabilidade do pessoal, etc. Vamos descobrir quais perguntas você precisa responder antes de implementar um programa de gerenciamento de vulnerabilidades em um organização.

Vulnerabilidades de software, erros de configuração e ativos de TI não registrados existem em qualquer organização. Algumas dessas questões são mais perigosas do ponto de vista da segurança da informação e outras menos. Mas, de qualquer forma, eles abrem caminho para invasores na infraestrutura interna da empresa. Você pode reduzir o número de ameaças potenciais e existentes à segurança cibernética criando um programa de gerenciamento de vulnerabilidades. Este é um processo que consiste em várias etapas importantes:

  • Inventário regular de infraestrutura
  • Varredura de vulnerabilidade
  • Processamento de resultados de varredura
  • Eliminando vulnerabilidades
  • Controlar a implementação das tarefas acima

Conforme mencionado acima, você não pode iniciar um programa de gerenciamento de vulnerabilidades “em um piscar de olhos”. Primeiro, você precisa fazer a “lição de casa”: avaliar a infraestrutura e os processos de segurança da informação existentes, entender o nível de treinamento da equipe e escolher uma ferramenta e um método de verificação. Caso contrário, o gerenciamento de vulnerabilidades e as vulnerabilidades existirão separadamente um do outro.

Artigos relacionados

Avaliação dos processos de segurança da informação na empresa

O primeiro passo para o gerenciamento eficaz de vulnerabilidades é uma avaliação dos processos de negócios e segurança da informação. A organização pode fazer isso por conta própria ou contratar um auditor externo.

Ao avaliar os processos de segurança da informação, vale a pena responder às seguintes perguntas:

  • Existe um processo de controle centralizado de todos os ativos de TI da empresa e qual a sua eficácia?
  • Existe atualmente uma prática estabelecida de encontrar e corrigir vulnerabilidades de software? Quão regular e eficaz é?
  • O processo de controle de vulnerabilidade está descrito na documentação interna de segurança da informação e todos estão familiarizados com esses documentos?

Suponha que as respostas a essas perguntas não correspondam à situação real da empresa. Nesse caso, a avaliação será incorreta e muitos erros aparecerão ao implementar ou refinar o programa de gerenciamento de vulnerabilidades.

Por exemplo, muitas vezes uma empresa possui uma solução de gerenciamento de vulnerabilidades, mas ela não está configurada corretamente ou não há um especialista que possa gerenciá-la com eficiência.

Formalmente, o gerenciamento de vulnerabilidade existe, mas, na realidade, parte da infraestrutura de TI é invisível para a ferramenta e não é verificada, ou os resultados da verificação são mal interpretados. Esses resultados de interpretações mal compreendidas precisam ser tratados nas empresas.

Com base nos resultados da auditoria, deve ser gerado um relatório que demonstre claramente como estão organizados os processos na empresa e quais são as deficiências que eles apresentam no momento.

Escolhendo uma ferramenta de digitalização

Hoje, existem várias opções para implementar o gerenciamento de vulnerabilidades. Alguns fornecedores oferecem autoatendimento e simplesmente vendem o scanner. Outros fornecem serviços especializados. Você pode hospedar scanners na nuvem ou nos perímetros da empresa. Eles podem monitorar hosts com ou sem agentes e usar diferentes fontes de dados para reabastecer sua vulnerabilidade bancos de dados.

Nesta fase, as seguintes perguntas devem ser respondidas:

  • Como a infraestrutura de TI da organização é construída e quão específica ela é?
  • Existem peculiaridades regionais no trabalho da empresa?
  • Existem muitos hosts remotos?
  • A empresa possui especialistas qualificados para fazer a manutenção do scanner?
  • Seu orçamento permite que você compre software adicional?

Construir interação entre a segurança da informação e as equipes de TI

Esta é talvez a etapa mais difícil, pois aqui é necessário construir adequadamente a interação das pessoas. Via de regra, os especialistas em segurança de uma organização são responsáveis ​​pela segurança da informação, e a equipe de TI é responsável pela eliminação de vulnerabilidades. Acontece também que as questões de TI e segurança da informação são de responsabilidade de uma equipe ou mesmo de um funcionário.

Mas isso não muda a abordagem da distribuição de tarefas e áreas de responsabilidade e, às vezes, nesse estágio, o número atual de tarefas está além do poder de uma pessoa.

Como resultado, um processo consistente e síncrono de eliminação de vulnerabilidades deve ser formado. Para fazer isso, é necessário determinar os critérios de transferência de informações sobre vulnerabilidades descobertas da equipe de segurança da informação para TI (ou seja, formar um método de transferência de dados conveniente para todos).

Na verdade, o maior problema é a ausência de um bom analista que possa auditar com competência as fontes de notícias e priorizar as vulnerabilidades. Notícias, boletins de segurança e relatórios de fornecedores geralmente indicam quais vulnerabilidades devem ser abordadas primeiro. Na minha experiência, os analistas devem lidar com as vulnerabilidades mais perigosas. Todos os outros trabalhos devem ser feitos automaticamente, processando remendos recebidos de fornecedores de software.

Alguns tipos de vulnerabilidades (malwarefox pontocom; ataque de dia zero) e ataques são difíceis de detectar. Para controlar efetivamente todos os processos, nesta fase de construção de um programa de gerenciamento de vulnerabilidades, você precisa discutir e concordar com KPIs e SLAs para as equipes de TI e segurança.

Por exemplo, para a segurança da informação, é importante definir requisitos para a velocidade de detecção de vulnerabilidades e a precisão na determinação de sua importância e, para TI, a velocidade de correção de vulnerabilidades de um determinado nível de gravidade.

Implementando um programa de gerenciamento de vulnerabilidades

Depois de avaliar a eficácia e disponibilidade dos processos, decidir sobre uma ferramenta de verificação, bem como regular a interação entre as equipes, você pode começar a implementar um programa de gerenciamento de vulnerabilidades.

No estágio inicial, não é recomendável usar todos os módulos de funções disponíveis na ferramenta de digitalização. Se antes não houvesse monitoramento constante de vulnerabilidades na organização, provavelmente as equipes de segurança da informação e TI enfrentariam dificuldades. Isso pode levar a conflitos e não conformidade com KPIs e SLAs.

É melhor introduzir o gerenciamento de vulnerabilidade gradualmente. Você pode passar por todo um ciclo de gerenciamento de vulnerabilidade (inventário, varredura, análise, eliminação) em um ritmo mais lento. Por exemplo, você pode verificar toda a infraestrutura uma vez por trimestre e segmentos críticos de negócios uma vez por mês.

Em cerca de meio ano, suas equipes poderão “trabalhar juntas”, encontrar e corrigir as vulnerabilidades mais críticas, entender as falhas óbvias nos processos e fornecer um plano para eliminá-las.

Além disso, você pode envolver especialistas externos que ajudarão a reduzir significativamente a rotina de trabalho dos funcionários em tempo integral da empresa. Por exemplo, um provedor de serviços pode estar envolvido no inventário e digitalização e no processamento dos resultados. A abordagem de serviço também ajudará os gerentes a planejar o trabalho e monitorar o progresso.

Assim, por exemplo, se ficar claro no relatório do provedor que as vulnerabilidades encontradas na varredura anterior não foram corrigidas, o gerente, ao consultar o SLA de seus funcionários, entenderá que ou o departamento de segurança da informação não tem tempo para transmitir os dados de digitalização ou a equipe de TI não tem tempo para corrigir os problemas identificados.

Conclusão

Ao construir um programa de gerenciamento de vulnerabilidades, uma empresa pode encontrar os seguintes erros:

  • Superestimação dos processos atuais e sua eficácia dentro da organização.
  • Avaliação errada ao escolher um método e ferramenta de digitalização. Isso acontece porque alguns especialistas escolhem um scanner com base em uma avaliação subjetiva ou “como ordenado de cima” sem a devida avaliação dos processos e análises. Se os funcionários em tempo integral não tiverem experiência e competências suficientes, é melhor escolher um provedor de serviços para escanear, analisar resultados e corrigir vulnerabilidades.
  • Falta de delimitação de áreas de responsabilidade entre as equipes de segurança da informação e TI.
  • Implementação de tudo de uma vez. “Monitoraremos regularmente todos os servidores, estações de trabalho e nuvens. Também vamos focar ISO 12100 e PCI DSS. Instalaremos uma solução de gerenciamento de patches e John controlará tudo.” Tal abordagem é perigosa. Em um mês, John brigará com a TI e, em três meses, desistirá. O processo será reconhecido como ineficiente e esquecido até o primeiro incidente de cibersegurança.

Portanto, é melhor primeiro “estabelecer as bases” e só depois começar a construir o programa de gerenciamento de vulnerabilidades.

.

Etiquetas
Foto de Strong Strongnovembro 21, 2022
0 6 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Huawei vence a Apple com este novo recurso do Pura 70 Ultra que você não encontrará no iPhone

abril 21, 2024

Android king Galaxy S23 Ultra é substancialmente descontado pela primeira vez

junho 7, 2023

Usar o Exynos 2400 na linha Galaxy S24 pode ser a única boa opção que a Samsung tem

agosto 14, 2023

Muitas ferramentas de comunicação? Você não está sozinho

dezembro 6, 2021

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo