O seu negócio está vulnerável?

Uma das actividades relevantes no âmbito da cibersegurança é a Gestão de Vulnerabilidades. Tendo isso em mente, o primeiro contributo da LIMIAR IT Security para o mês de Outubro dedicado à Cibersegurança abordou essa temática. Neste artigo, espelhamos de maneira sucinta o valor e como se desenrola a Gestão de Vulnerabilidades no seio de uma equipa de TI/TO (Tecnologias de Informação/Tecnologias Operacional).

Vulnerabilidade é o ponto de partida para um ataque cibernético bem-sucedido.

Em cibersegurança, a vulnerabilidade é o ponto de partida para um ataque cibernético bem-sucedido. Caracterizado pela presença de um agente malicioso que, aproveitando-se de uma vulnerabilidade, realiza acções danosas na infraestrutura tecnológica da sua vítima, o ataque cibernético é também prevenido quando se reconhece o papel determinante do design e operacionalização da Gestão de Vulnerabilidades.

Numa realidade corporativa, é exigido um posicionamento sistemático e controlado quanto a Gestão de Vulnerabilidades. As acções de varredura, detecção, análise e correcção de vulnerabilidades devem ser religiosamente realizadas para que os agentes maliciosos não tenham a oportunidade de detectá-las e explorá-las em primeiro lugar, colocando assim em risco todo o negócio que se pretende proteger.

Equipa + Inventários + Informações

As acções preliminares para a implementação da Gestão de Vulnerabilidades devem passar pela constituição de uma Equipa Técnica dedicada, seja ela interna ou externa; pela Inventariação e Priorização dos Activos Tecnológicos a monitorar, tais como servidores, dispositivos de redes, aplicações, etc; e pela definição das Fontes de Informação sobre Vulnerabilidades.

Quanto a definição das Fontes de Informação sobre Vulnerabilidades, é pertinente realçar o papel das Fontes Abertas de Informação (OSINT – Open-source Intelligence) e das Ferramentas de Gestão de Vulnerabilidades. O investimento quase nulo envolvendo o uso das Fontes Abertas de Informação, possibilita às equipas técnicas estarem a par das novas vulnerabilidades colhendo as informações nas listas de e-mails, nos feeds RSS e nos PSIRT (Product Security Incident Response Team) dos fabricantes, nas Bases de Dados de Vulnerabilidades (NVD, CVE, CVE Details e VULDB) e noutros websites da especialidade. Já o uso de Ferramentas de Gestão de Vulnerabilidades na colecta das informações sobre vulnerabilidades, apesar de implicarem maior investimento financeiro, garantem maior eficácia pois mantêm actualizadas as suas bases de dados de vulnerabilidades de forma automatizada, conectando-se periodicamente aos seus próprios servidores de actualização.

As acções operacionais devem ser cíclicas.

Com a equipa técnica composta, os inventários de activos tecnológicos e as fontes de informação actualizados, passa-se à fase mais operacional da Gestão de Vulnerabilidade, em que devem ocorrer periodicamente as acções de varredura, detecção, análise e correcção de vulnerabilidades. Essas acções poderiam ser realizadas sem recurso a ferramentas de gestão de vulnerabilidades, mas para além de requererem um esforço titânico quanto maior for o parque tecnológico da organização, a equipa técnica estaria também a privar-se de recursos inovadores e que representam o estado da arte.

Uma das ferramentas que pode ser referenciada é o Nessus Professional. Adquirindo a versão Essential pode-se logo verificar o seu potencial e compreender o porquê de ser a número #1 neste ramo e de ser também a aposta da LIMIAR como revendedora autorizada. No entanto, não importando qual seja a ferramenta, vale realçar que os técnicos devem ter em atenção os possíveis impactos na infraestrutura tecnológica, como o congestionamento de rotas e quebras de serviços, caso não haja a devida planificação, configuração e monitorização do seu uso.

Conhecidos os resultados, deve-se ter lugar a análise e posterior correcção das vulnerabilidades. A análise pode basear-se nas propostas genéricas geradas pelas ferramentas, porém, como cada organização tem as suas especificidades, é recomendável que os técnicos tomem as rédeas da análise e usem, por exemplo, o CVSS Calculator para auxiliar nas decisões de priorização. De igual modo, as acções de correcção também não deverão seguir cegamente as orientações das ferramentas, recomendando-se que se confie nas diferentes valências existentes na equipa técnica para validarem as sugestões de correcção e traçarem as melhores estratégias de correcção sem prejudicarem as operações da organização. Qualquer alteração na infraestrutura tecnológica da organização deverá cumprir o processo de gestão de alterações.

Ao finalizar, para validar a eficácia das correcções, poderão ser realizadas as varreduras de validação e assim, confortáveis com os resultados, fecha-se o ciclo de gestão de vulnerabilidades que, tão logo ao virar da esquina, será retomado para dar vida ao próximo ciclo. Em cibersegurança, quase nada é estático!

O importante é que seja dado o primeiro passo!

No geral, o importante é que seja dado o primeiro passo! Buscar o suporte da alta gestão é sempre o recomendado, pois haverá maior garantia de concretização das acções sem muitos sobressaltos, mas colocar as mãos na massa de forma consistente garantirá logo resultados palpáveis para a organização.

As vulnerabilidades existem e devem ser encaradas de frente, sem deixar que sejam geridas como obra do acaso. Para as organizações que estejam a começar, os pequenos passos são essenciais até que alcancem níveis mais alto de maturidade. Para organizações que já tenham anos de caminhada, aprimorar os procedimentos e adoptar soluções mais eficientes permitirá comprovar que as questões de segurança já são tratadas como “business-as-usual (BAU) activities“, actividades habituais do negócio, enquadradas na estratégia de segurança global da organização.