Ciclo de vida de uma vulnerabilidade
O processo de Gerenciamento de Vulnerabilidades consiste, basicamente, em 5 fases:
1. Preparação
- Inicialmente, defina um escopo pequeno. Podem ser escolhidos: um grupo de máquinas, uma área específica, os ativos mais críticos ou, ainda, um scan em toda a rede para identificar vulnerabilidades críticas que possuam exploit. Caso contrário, você terá um número enorme de informações para tratar.
- Na fase de preparação é importante também identificar quais ativos podem ou não ser escaneados e documentar as justificativas.
- Defina quais tipos de scan serão executados: internos ou externos (com uma perspectiva do atacante), intrusivos ou não intrusivos. Um scan intrusivo faz uso de credenciais para checagens mais completas e menos uso de recursos de rede, porém, com maior processamento de cada ativo. Dê preferência para este tipo para resultados mais completos.
- Faça testes de desempenho para identificar quantos ativos seu scanner e sua rede conseguem suportar sem comprometer o desempenho dos ativos e do tráfego. Em geral, os fabricantes possuem estas informações de referência. Contabilize também o tempo total do scan por ativo.
- Alinhe com as equipes como será todo o processo, calendário de execução, resultados esperados e como serão cobrados. Informe à equipe de monitoramento os horários dos scans e os endereços dos scanners para detectar qualquer problema causado pela atividade.
2. Scans de vulnerabilidade
- Qualquer problema causado pelo scan precisa ser documentado. É relativamente normal ocorrerem problemas no início do processo. O ideal é investigar a causa e aplicar as devidas correções que, em muitos casos, são ajustes em suas configurações.
- Gere os relatórios necessários sobre os resultados, de acordo com a necessidade de cada equipe. Gestores e equipes de GRC têm maior interesse em fatores de risco para a organização, como número de vulnerabilidades e a criticidade associada. Já os responsáveis pelos ativos precisam de uma visão geral sobre as vulnerabilidades encontradas. As equipes responsáveis pela mitigação precisam ter informações mais detalhadas sobre a vulnerabilidade e as opções de correção.
3. Definição das ações de remediação
- Esta fase indica a preparação das ações de remediação. Ou seja, identificar o que é necessário para mitigar a vulnerabilidade, como a aplicação de um patch ou alteração de uma configuração. É criado um plano de mudança que determinará quando a atividade ocorrerá, indicando as possíveis indisponibilidades causadas pela atividade (ex: parada temporária para reinicialização de um servidor) e plano de rollback. Podem ser definidos também prazos para aplicação das correções, de acordo com a criticidade da vulnerabilidade.
- Caso não seja possível a aplicação da correção, outras formas de compensação podem ser aplicadas como restrição no acesso ao serviço vulnerável, aplicação de patch virtual ou até mesmo mudança de tecnologia.
- Em casos em que os responsáveis pelos ativos decidam aceitar os riscos identificados, um processo formal dentro da organização precisa ser aplicado. Esta requisição pode ser analisada pela equipe de GRC e diretoria, conforme regras da organização.
4. Aplicação da remediação
- As correções são aplicadas dentro do período planejado. Caso haja algum problema durante a ação, o mesmo deve ser documentado e o plano de rollback é aplicado. Então, um novo planejamento - com revisão do caso - é feito para futura correção.
5. Scan de validação
- Uma vez que as ações de remediação são finalizadas, um novo scan é gerado para validar e evidenciar que a vulnerabilidade foi corrigida.
- Novos reportes são gerados mostrando os resultados das ações de remediação, para visibilidade dos envolvidos.
- É recomendável uma avaliação das dificuldades encontradas durante todo o processo, para melhorias futuras.