Nova Vulnerabilidade! E agora?

Uma das inquietações que habitualmente assombra quem tenha sob a sua responsabilidade a Gestão de Vulnerabilidades em sistemas de informação está relacionada com a tomada de decisão logo após a recepção de um novo Alerta de Vulnerabilidade.

Será que requer uma acção de correcção imediata? Ou será que poderemos dormir descansados?

Determinar a fiabilidade dos alertas recebidos e garantir um entendimento sobre o impacto tendo em conta as particularidades do teu ambiente são acções primordiais na definição do rumo a ser tomado pela equipa. Estes aspectos realçam dois pilares importantes, a Detecção e a Classificação, que, no cenário ideal, devem ser partes integrantes de um Processo de Gestão de Vulnerabilidades implantado numa organização.

A detecção, representando o ponto inicial do processo, deverá ser credível e garantida por uma fonte pública de informação (ex: notificação de CERTs, consulta em páginas de fabricantes, mailing list especializada, etc.) ou por algum sistema de análise de vulnerabilidades (ex: Nessus, AlienVault, Secunia, testes de intrusão interno ou externo).

Já a classificação da vulnerabilidade, que dará resposta ao “E agora?”, indicará o nível de criticidade e a urgência para a realização da acção correctiva. A métrica mais usada é o CVSS (Common Vulnerability Scoring System), cujo o intervalo de valores quantitativos (entre 0.0 e 10.0) podem ser mapeados em valores qualitativos (Baixa, Média, Alta e Crítica) e estes últimos em acções do género:

  • Baixa – analisar a vulnerabilidade em 30 dias e corrigi-la em 180 dias
  • Média – analisar a vulnerabilidade em 15 dias e corrigi-la em 90 dias
  • Alta – analisar a vulnerabilidade em 5 dias e corrigi-la em 30 dias
  • Crítica – analisar a vulnerabilidade em 2 dias e corrigi-la em 10 dias

Normalmente as vulnerabilidades são publicadas com uma classificação CVSS Base que poderá ser reavaliada em função da realidade dos sistemas onde a vulnerabilidade existe. Para este cálculo pode ser utilizada a calculadora CVSS disponibilizada pelo NIST.

Ao ter uma vulnerabilidade classificada e um conjunto de acções predefinida, as actividades subsequentes que podem culminar com uma reavaliação das correcções aplicadas, tendem a ser geridas com serenidade e reduzida influência externa negativa (sensacionalismos).

Portanto, não deverá existir espaço para pânico ou reacções pouco orquestradas. É certo que a dimensão e o grau de maturidade das equipas influenciam no desempenho, mas o importante é que sejam promovidos os passos iniciais para o estabelecimento de um Processo de Gestão de Vulnerabilidades.