Algo muito comum entre as empresas que adotam um programa de gerenciamento de vulnerabilidades é a forma de medir a sua eficiência. Essa medição, além de evidenciar as melhorias quanto à prevenção dos riscos, ajuda a justificar o investimento em tecnologia, processo, corpo técnico e serviços gerenciados de segurança.
Basicamente, todo programa terá como métrica a contabilização do total de vulnerabilidades registradas em um determinado mês e a evolução deste número nos meses subsequentes. Após um tempo, é comum achar problemas e desvios difíceis de se justificar. A análise destes desvios geralmente leva às seguintes conclusões:
- Máquinas que não foram escaneadas no mês anterior e que tem seu total de vulnerabilidades contabilizado no mês vigente
- Máquinas removidas da rede entre um mês e outro e a consequente falta de controle sobre estas mudanças
- Contabilizar vulnerabilidades recentes e não ter algum desconto deste número no crescimento da quantidade total
- Problemas com credenciais e scans intrusivos que contabilizam menos vulnerabilidades do que deveriam
- Máquinas novas que entram na rede com imagens de S.O. e softwares antigos
A causa destes desvios pode reduzir, em geral, problemas com atualização de inventário e um processo ainda em desenvolvimento.
Enquanto os desvios acima são revistos e os resultados melhoram, pense na adesão de algumas métricas adicionais e interessantes:
- Tempo de Detecção: Este indicador pode mostrar o tempo médio entre a publicação de uma vulnerabilidade e sua detecção.
- Geralmente as tecnologias registram, para cada ativo identificado, a data de publicação da vulnerabilidade e quando esta foi identificada em cada ativo.
- Este indicador pode auxiliar na adequação dos períodos entre cada scan e na definição de scans pontuais. Exemplo: quando uma nova vulnerabilidade crítica é descoberta.
- Tempo de Mitigação: Este indicador mostra o tempo para que uma vulnerabilidade identificada seja corrigida.
- Tecnologias de gerenciamento de vulnerabilidades também mantém um registro da data em que uma vulnerabilidade foi mitigada, facilitando a geração deste tipo de indicador
- Esse é um indicador fundamental para mostrar a efetividade do programa de VM. O tempo de mitigação é fundamental para se evitar uma quebra de segurança, mas claro, há outros fatores que a equipe de segurança deve se atentar também.
- Taxa de Aplicação de Patches: Este é um indicador mais complicado de se criar, mas mede bem o trabalho da equipe envolvida no processo de VM.
- Com esse indicador é possível visualizar quantos patches ou correções a equipe técnica consegue aplicar durante um período, tentando sempre chegar num medidor ideal entre qualidade e efetividade.
- Baseline ou Golden Machine: Este indicador ajuda a destacar quais máquinas apresentam maior risco em comparação a outras.
- Um scan é executado em uma máquina ideal (Golden machine) que possui as correções mais recentes aplicadas e que preferencialmente tem as mesmas condições que uma máquina nova na rede.
- Uma pontuação é determinada para essa máquina baseada, por exemplo, no total de vulnerabilidades e seus níveis de criticidade
- Máquinas que tenham desvios acima da pontuação da Golden Machine devem ter as correções priorizadas pela equipe técnica.
- Também é de fundamental importância manter a imagem de S.O. atualizada. Este pode ser um processo trabalhoso e constante, mas certamente evitará retrabalho e dificuldades futuras.
Com estas métricas adicionais, gestores terão informações mais precisas para gestão de risco e gerenciamento da equipe técnica, enquanto a mesma terá formas adicionais de priorização de suas atividades e métricas que mostrem o resultado de seu esforço.
Referências:
NIST – Guide to Enterprise Patch Management Technologies
SANS – Implementing Vulnerability Management Process
Tenable - Vulnerability Management Metrics
