Em muitos casos, o desafio de vulnerabilidades de alto-risco nem sempre é o passo da remediação do problema. Na verdade, vulnerabilidades são quase sempre corrigidas de 2 formas: uma mudança de configuração ou aplicando um update na forma de um patch de segurança.

Os CSO enfrentam dois problemas fundamentais quando o assunto são as vulnerabilidades, que são aplicáveis aos dois cenários:

 

1 Visibilidade

Uma coisa é aplicar um patch de segurança em um appliance ou software, mas muitas vezes as empresas não possuem um inventário confiável de todos os ativos na rede. A falta de visibilidade torna virtualmente impossível aplicar os patches de segurança ou modificar as configurações.

 

2 Cyber Inércia

O conceito de cyber inércia é de alguma forma mais compreensível que apenas gestão de configurações e patches. A verdade é que as empresas não gostam muito de realizar mudanças de configuração porque não têm certeza do que pode quebrar como resultado. Lembre do WannaCry, por exemplo. Todo mundo sabia que era necessário desabilitar o SMBv1, mas muitas empresas não fizeram isso por medo de que algo pudesse acabar sendo desabilitado no caminho. As vulnerabilidades não podem ser remediadas se não sabemos as boas configurações daquilo que estamos operando.

Gerenciamento de Vulnerabilidades requer que as empresas sigam o seguinte processo em 4 passos:

 

Passo 1: Entender os Ativos

Isso parece óbvio, mas em geral é subestimado. A proliferação de tipos de dispositivos nas empresas significa que o número de ativos está aumentando exponencialmente, o que traz junto mais usuários e mais tipos de dados trafegando nesses dispositivos.

 

Passo 2: Trace um perfil das ameaças à empresa e suas ferramentas, técnicas e procedimentos

Uma vez que entendemos o que buscamos proteger, precisamos entender quem está tentando obter acesso aos nossos ativos e quais as capacidades que eles possuem.

Aqui, o contexto é importante. Cada vertical de negócios, cada empresa tem suas particularidades e entender o cenário o qual a sua empresa está envolvida é essencial para elaborar um bom plano de segurança e priorizar o orçamento para resolver os problemas que são mais críticos para sua empresa.

 

Passo 3: Identifique suas Vulnerabilidades

Vulnerabilidades são fraquezas que podem estar presentes nas pessoas, processos ou tecnologias. Por quê nós identificamos as vulnerabilidades depois de identificar o perfil das ameaças e classificar os ativos? Porque vivemos em um mundo onde a segurança absoluta não é possível. Ferramentas automatizadas chegam somente até certo ponto em termos de fortalecer os pontos mais fracos, como por exemplo encontrar vulnerabilidades técnicas. Mas, por exemplo, elas não podem dizer se seus usuários precisam de treinamento para que as ameaças não passem por eles.

Pragmatismo e priorização são duas chaves para uma boa gestão de vulnerabilidades. Nós precisamos de olhar para quais sistemas armazenam dados estamos mais preocupados. Algumas questões chave podem ser formuladas sobre esses sistemas:

  • Eles são acessíveis externamente?
  • As aplicações utilizando os dados estão rodando na versão mais atual?
  • Onde e como os detalhes de login estão sendo armazenados?
  • Você está enviando dados sensíveis com a devida criptografia?

 

Passo 4: Aplique Controles e Salvaguardas

Vulnerabilidades sempre vão se acumular. Contudo, controles e salvaguardas podem diminuir o impacto ou a probabilidade da ocorrência de um risco. Controles não precisam ser absolutos. è pouco usual que um controle remova inteiramente um risco, estamos buscando levar o risco a níveis mais aceitáveis. Mas quem seta esse parâmetro? Mais uma vez, o CSO de acordo com o negócio e o cenário o qual ele está inserido.