O que é gerenciamento de vulnerabilidades?

O gerenciamento de vulnerabilidades é uma prática de segurança da TI que envolve a identificação, avaliação e correção de falhas de segurança em dispositivos, redes e aplicações de modo a reduzir os riscos de ataques cibernéticos e violações.

Profissionais especializados consideram o gerenciamento de vulnerabilidades uma parte importante da automação da segurança. Esta é uma competência mandatória no Monitoramento Contínuo de Segurança da Informação, conforme definido pelo Instituto Nacional de Ciência e Tecnologia (NIST) dos EUA. 

As vulnerabilidades são rastreadas como vulnerabilidades comuns e exposições (CVEs), um sistema usado pelo setor de segurança para catalogar as falhas identificadas por fornecedores de TI e pesquisadores. Como novas CVEs estão sempre surgindo, o gerenciamento de vulnerabilidades é um processo contínuo. Com um programa de gerenciamento de vulnerabilidades, as equipes podem automatizar os processos de detecção e correção, incluindo a verificação de falhas e a aplicação de patches.

O objetivo do gerenciamento de vulnerabilidades é reduzir os riscos de ataques cibernéticos e proteger a infraestrutura de TI. Com esses processos, as empresas diminuem suas superfícies de ataque, identificando e removendo erros de configuração e problemas de segurança que possam ser explorados. Elas também conseguem gerenciar patches aos software e detectar e mitigar ataques ocasionados por exploração de vulnerabilidades. Assim, você assegura a aplicação correta de patches e configurações em todos os ambientes, dos dispositivos de endpoint até servidores, redes e recursos de nuvem.

O gerenciamento de vulnerabilidades é formado por cinco fluxos de trabalho simultâneos: 

• Descoberta: verifique os ativos de TI da organização para encontrar vulnerabilidades conhecidas e potenciais.
• Categorização e priorização: categorize as vulnerabilidades identificadas e atribua a elas um nível de prioridade de acordo com a gravidade e o risco real. Por exemplo, uma vulnerabilidade gravíssima no dispositivo que só possa ser explorada quando há conexão com a Internet não é um risco se ele só for operado offline. 
• Resolução: solucione as vulnerabilidades por meio da remediação (resolver a vulnerabilidade), mitigação (limitar as chances de exploração ou seu impacto) e aceitação (escolher não lidar com vulnerabilidades de baixo risco).
• Reavaliação: realize novas avaliações para assegurar que as medidas tomadas funcionaram e não produziram novas vulnerabilidades.
• Relatório: estabeleça métricas de referência para gerenciar vulnerabilidades e monitore seu desempenho ao longo do tempo.

Como componente da segurança da informação, o gerenciamento de vulnerabilidades tem as mesmas funções. Quando se trata do framework de cibersegurança definido pelo NIST, as funções incluem:

• Identificar: entenda os sistemas, usuários, ativos, dados e recursos.
• Proteger: seja capaz de limitar ou restringir o impacto de um possível evento de cibersegurança. 
• Detectar: descubra os eventos de cibersegurança com rapidez.
• Responder: tome as medidas apropriadas quando detectar um incidente de cibersegurança.
• Recuperar: Tenha um plano de resiliência e restaure todos os recursos e serviços que forem impactados por um incidente.

As vulnerabilidades de segurança da TI são catalogadas e rastreadas pela lista de CVEs. Essa lista é um recurso do setor administrado pela MITRE Corporation e financiado pela Agência de Cibersegurança e de Infraestrutura (CISA), que integra o Departamento de Segurança Interna dos EUA. Pesquisadores, fornecedores e membros da comunidade open source podem submeter suas falhas de segurança para a lista de CVEs.

Além dessa lista de CVEs resumidas, os profissionais de segurança podem encontrar os detalhes técnicos das vulnerabilidades no National Vulnerability Database (NVD) dos EUA, no Vulnerability Notes Database do CERT/CC e em outras fontes, como listas específicas de uma solução mantidas pelos fornecedores.

O ID CVE oferece uma maneira confiável de reconhecer vulnerabilidades em diferentes sistemas e coordenar o desenvolvimento de ferramentas e soluções de segurança.

Leia mais sobre as CVEs

O Sistema de Pontuação de Vulnerabilidade Comum (CVSS) é um padrão do setor para atribuir pontuações às CVEs. É aplicada uma fórmula que avalia uma série de fatores relacionados à vulnerabilidade, como as chances de se realizar um possível ataque de maneira remota, a complexidade desse ataque e se há a exigência de qualquer ação do usuário. O CVSS atribui a cada CVE uma pontuação que vai de 0 (nenhum impacto) a 10 (maior impacto).

No entanto, apenas a pontuação não é o suficiente para avaliar o risco. Há outros dois tipos de avaliação que ajudam a formar uma análise mais completa baseada no CVSS: temporal e ambiental. Com uma avaliação temporal, você descobre detalhes sobre as técnicas atuais de exploração, a existência de ataques que exploram a vulnerabilidade ou a disponibilidade de patches e soluções para eliminar o problema. Uma avaliação ambiental adiciona detalhes específicos da organização sobre dados, sistemas ou controles críticos que possam existir no ambiente do consumidor final e que seriam capazes alterar o impacto ou a probabilidade de um ataque ser executado com sucesso.

Os fornecedores e pesquisadores podem usar outros parâmetros além das pontuações CVSS. Por exemplo, o Red Hat Product Security adota uma escala de gravidade de quatro pontos para ajudar os usuários a avaliarem os problemas de segurança. As classificações são:

• Impacto crítico: falhas que podem ser facilmente exploradas por um invasor remoto não autenticado e danificar o sistema sem exigir interação do usuário. 
• Impacto importante: falhas que podem facilmente comprometer a confidencialidade, integridade e disponibilidade dos recursos.
• Impacto moderado: falhas mais difíceis de explorar, mas que ainda podem comprometer de certa maneira a confidencialidade, integridade e disponibilidade dos recursos em determinadas circunstâncias.
• Impacto pequeno: todos os outros problemas que podem ter impacto na segurança. Isso inclui aqueles que são explorados durante circunstâncias improváveis ou que têm consequências mínimas quando o ataque é bem-sucedido

À medida que a quantidade de vulnerabilidades aumenta e as empresas alocam mais equipes e recursos para cuidar da segurança, é essencial priorizar esse trabalho do melhor jeito possível. O uso de dados genéricos e imprecisos sobre riscos como parte de um programa de gerenciamento de vulnerabilidades pode fazer com que você subestime ou superestime determinadas vulnerabilidades. Isso aumenta o risco de que um problema importante fique sem solução durante muito tempo.

O gerenciamento de vulnerabilidades baseado em riscos (RBVM) é uma abordagem moderna que prioriza as ações de acordo com a ameaça a uma organização específica. O RBVM considera dados de vulnerabilidade relacionados especificamente a stakeholders, incluindo inteligência de ameaças, as chances de exploração e a importância dos ativos impactados para a empresa. Isso inclui recursos de inteligência artificial e machine learning que ajudam a produzir pontuações de risco mais precisas. A RBVM também tem como objetivo monitorar vulnerabilidades em tempo real, com escaneamento contínuo e automatizado de vulnerabilidades.

A avaliação de vulnerabilidades é uma análise das medidas de segurança adotadas por um sistema de TI para identificar falhas. Isso inclui a coleta de dados sobre o sistema e seus recursos, uma verificação para encontrar vulnerabilidades conhecidas e a geração de um relatório para classificar rapidamente as descobertas e identificar métodos de implementação de melhorias. A avaliação de vulnerabilidades é como uma auditoria interna em toda a infraestrutura para encontrar problemas de segurança. Mesmo que possa ser agendada como parte de um processo realizado com frequência, a avaliação de vulnerabilidades é basicamente um evento único que termina com uma conclusão: um relatório sobre a infraestrutura em um determinado momento.

Já o gerenciamento de vulnerabilidades é um trabalho contínuo e automatizado. As funções desse processo são regulares, simultâneas e contínuas. Assim, é possível lidar com as vulnerabilidades importantes com antecedência e rapidez, o que melhora a segurança.

Como líder em software open source, a Red Hat prioriza a transparência e a responsabilidade quando se trata dos seus clientes e comunidades. A Red Hat sempre disponibiliza informações sobre as vulnerabilidades e, em 2022, recebeu a designação Root organization no programa de CVE.

Leia mais sobre a abordagem da Red Hat para o gerenciamento de vulnerabilidades

A Red Hat também oferece às empresas soluções para criar, implantar e executar aplicações nativas em nuvem com mais segurança. Descubra como aprimorar a detecção e o gerenciamento das vulnerabilidades em ambientes Kubernetes com o Red Hat Advanced Cluster Security for Kubernetes.