No artigo anterior mencionei que, de acordo com o The Canadian Cyber Incident Response Centre (CCIRC), cerca de 85% dos ataques direcionados são preveníeis e é preciso ter uma equipe direcionada para o trabalho de segurança de TI, atenta ao que está acontecendo e seguindo algumas recomendações de boas práticas. Tive ótimas experiências nos últimos anos ao acompanhar e participar ativamente da criação de Programas de Gerenciamento de Vulnerabilidades. Tentarei passar abaixo um pouco destas experiências, focando em situações que realmente acontecem no mundo corporativo.
Há diversas soluções empresariais disponíveis no mercado como Qualys, NMAP e Nessus, que propiciam tecnicamente estes objetivos, mas a criação de um programa de VM exige mais que a simples implementação destas soluções. Confira 11 recomendações para começar um programa em sua organização:
Fonte: Tenable - Infográfico
- Criação de um processo interno
A criação de um processo é uma tarefa árdua e de manutenção constante. Uma vez que você tem uma ferramenta técnica para a execução de scans de vulnerabilidade, é necessário definir um ambiente de amostragem, como a própria área de TI, por exemplo. Aprende-se bastante sobre as necessidades de cada empresa desta forma, além de iniciar um movimento de “homologação do processo”, que pode ser replicado posteriormente ao restante da empresa. Atente-se, ainda, ao processo de “Mudanças” de sua empresa. Recomendável checar o documento “NIST Special Publication 800-40 Revision 3.
- Divisão de tarefas com outros fornecedores
Quando as atividades são distribuídas entre diferentes parceiros e/ou fornecedores, há uma real necessidade de sinergia entre as equipes. É recomendável que o responsável da empresa, pelo processo de Vulnerability Management, acompanhe de perto as atividades, de modo a auxiliar no fluxo das demandas. Crie, se possível, uma reunião periódica para acompanhamento e discussão das atividades e responsabilidades de cada um.
- Atuação em áreas críticas
Áreas críticas ao negócio exigem atenção prévia. Alinhe as atividades com as áreas e mostre os pontos positivos que o programa pode trazer. Envolva os responsáveis com a sua equipe. Lembre-se de que, neste caso, o objetivo da equipe de Segurança da Informação é sempre conciliar a segurança com a boa operação da infraestrutura, evitando e prevenindo dores de cabeça causadas por incidentes de disponibilidade.
- Definição dos ativos críticos
Fazer a quantificação do risco de um ativo conciliando informações técnicas com o negócio exige um nível de maturidade e conhecimento grandes. Quanto às informações técnicas, uma boa forma de se iniciar é através de um inventário dos ativos de rede. Com o inventário e a relação de vulnerabilidades identificadas, é possível priorizar as ações de mitigação. Caso não disponha de um inventário, uma boa forma de começar é a partir de um scan de Discovery.
- Acesso a ambientes distintos
Para que a identificação das vulnerabilidades seja completa, muitas vezes é necessário o uso de credenciais administrativas. Quando temos um ambiente segmentado (DMZ, rede de banco de dados, rede de aplicações, rede de usuários, etc), é quase certo de que precisaremos de uma credencial por segmento. Novamente, explique aos responsáveis a importância dos acessos administrativos a estes ambientes. Além disso, procure ter uma conta sem interação de logon e administre a atualização e custódia de senha periodicamente.
-
Crie indicadores
Defina alguns indicadores, de modo que você possa acompanhar a evolução do processo e, assim, corroborar os custos envolvidos como, por exemplo, vulnerabilidades críticas mais presentes na rede, quais os sistemas operacionais mais vulneráveis, quais os ativos mais vulneráveis, as vulnerabilidades que proporcionam o maior risco. Crie os reportes de forma automatizada disponibilizando, assim, mais tempo para outras atividades.
- Defina ações para melhoria dos indicadores
Após avaliação dos indicadores, defina ações concretas de melhoria a serem executadas. Diminuir o número de servidores vulneráveis da área de negócio vital à empresa ou atuar nas vulnerabilidades mais críticas são alguns exemplos de ações.
- Defina as datas de scan e de instalação das correções
É recomendável que as datas sejam definidas para que haja um parâmetro de comparação entre a data que uma vulnerabilidade foi identificada e a data em que ela foi corrigida. Adicione estes itens ao seu processo, de modo que todos tenham ciência de quando uma área será escaneada.
- Atualização da Imagem de Instalação Padrão
É bem provável que cada empresa tenha sua imagem de instalação de Sistema Operacional padrão, mas com que frequência ela é atualizada? Aproveite e crie um processo para revisão e atualização desta imagem, de modo a evitar que uma máquina entre na rede com vulnerabilidades que já deveriam ter sido extintas.
- Sistemas Legados
O primeiro passo para uma decisão sobre um sistema legado é identificá-lo. Entenda quais são os sistemas (sem suporte) e quais os riscos técnicos associados (faça um scan completo). Esse é um bom ponto de partida para uma decisão futura com a área de negócio.
- Acompanhamento contínuo dos resultados
Revise continuamente o processo e a implementação técnica para que seja possível criar um Programa de Gerenciamento de Vulnerabilidades efetivo. Sempre é possível encontrar algum ajuste a ser feito.
Procure ler documentações de referência sobre o assunto, como a documentação do NIST e as disponibilizadas pelos fabricantes.
É importante ter em mente que os resultados são gradativos e, por vezes, o reconhecimento deles precisa ser bem trabalhado, para que o valor seja percebido pela alta gerência. Lembre-se de que os objetivos são a redução de riscos, proteção de dados e minimização do tempo de identificação de quebra de segurança.
Referências:
- SANS – Implementing Vulnerability Management Process
- Tenable – Implementing an effective Vulnerability Management Program
- NIST - Guide to Enterprise Patch Management Technologies
