Programas de gerenciamento de
vulnerabilidade eficazes requerem o equilíbrio certo entre
tecnologia, inteligência empresarial e processo. A tecnologia inclui,
necessariamente, scanners de vulnerabilidade como o FoundScan, da McAfee; o
QualysScan, da Qualy ou o Tenable Security Network, da Nessus; scanners de
aplicações, como o WebInspect, da Hewlett-Packard ou o AppScan, da IBM; e
ferramentas de configuração e gerenciamento de conserto. No entanto, sem vários
processos de gerenciamento de vulnerabilidade, tais ferramentas não serão tão
eficazes.
Um processo vital é reduzir a exposição de uma empresa aos seus adversários – o
processo às vezes é conhecido como “redução da superfície de ataque”.
O termo “superfície de ataque” pode ser referente à suscetibilidade de
um programa a vários meios de ataque ou a um sistema como um todo. As empresas
geralmente usam uma combinação de exercícios de design de rede, gerenciamento
de acesso e gerenciamento de configuração para reduzir as superfícies de ataque.
Por exemplo, a superfície de ataque de um sistema pode ser reduzida ao se expor
apenas os serviços necessários para a rede, desabilitando ou removendo
softwares desnecessários ou limitando o número de usuários autorizados a logar
no sistema.
Um programa de gerenciamento de vulnerabilidade eficaz também pode ajudar a
gerenciar a postura geral de segurança de uma empresa e sua tolerância ao
risco. Ao agregar dados sobre incidentes e vulnerabilidade, a área de TI pode
melhorar a segurança. Tendências e correlação de dados ajudam a mostrar como as
atividades internas e os eventos externos afetam o perfil de risco da empresa.
Essa análise ajuda a medir o sucesso de projetos como os consertos e manutenção
de sistemas, enquanto identifica áreas onde é necessário mais
investimento.
Outro benefício dos programas
de gerenciamento de vulnerabilidade é que eles ajudam a alcançar objetivos de
compliance. Padrões técnico, frameworks operacionais, ajustes como
Sarbanes-Oxley e frameworks específicos para algumas industrias, como HIPAA e
PCI, têm estimulado as empresas a implementar controle e relatórios de seu
sucesso. Um programa de gerenciamento de vulnerabilidade eficaz pode ajudar a
demonstrar compliance com controle estabelecido, assim como alertar para
problemas de compliance. A combinação da correlação de dados e ferramentas com
um programa maduro de gerenciamento de vulnerabilidade pode
extrair estatísticas sobre período de validade de senhas padrão, tempo de
expiração e requerimentos complexos e colocá-las em relatórios de
compliance.
No entanto, nós vimos empresas investir pesado em ferramentas de segurança e
scanners elaborados, apenas para ver suas equipes revisando resultados
semelhantes, relatório após relatório, mês após mês, ano após ano. O ciclo mensal
de ajustes é necessário mas relativamente bem conhecido com um mal que não
parece ter fim a curto prazo. Ainda assim, muitas empresas encontram problemas
em aplicações internas, deixando passar os ajustes por mais de 30 dias e
dispositivos que não são compatíveis com os padrões. Muitas das falhas que
levam a essas descobertas são sistemáticas por natureza, e a habilidade de
direcionar as causas-base é, geralmente, o que diferencia um programa de
gerenciamento de vulnerabilidade eficiente de um outro ineficiente.
Então como se quebra o ciclo da ineficiência? Alguns passos são de extrema
importância.
* Matthew Miller, Nathaniel
Puffer e Greg Shipley trabalham na Neohapsis, uma empresa de serviços e
software de gerenciamento de risco de informação
Esta é a segunda parte da
reportagem sobre gerenciamento de vulnerabilidade que o IT Web publica desde
quarta-feira (19/11). Acompanhe!
Leia mais:
Confira as todas as reportagens
– primeira matéria
– A integração de coleta de dados (a partir de 21/11)
Passos para reduzir os riscos
– Estabeleça prioridades (a partir de 24/11)
– Continue refinando (a partir de 25/11)
