Ao adotar um programa de gerenciamento de vulnerabilidades, uma atividade fundamental é medir sua eficiência. Essa medição, além de evidenciar as melhorias quanto à prevenção de riscos, embasa a justificativa de investimentos em tecnologia, processos e equipe técnica.
Desvios
Basicamente, todo programa tem como métrica a contabilização do total de vulnerabilidades registradas em um determinado mês e a evolução deste número nos meses subsequentes. Após um tempo, é comum achar problemas e desvios difíceis de se justificar, levando às seguintes conclusões:
- Máquinas que não foram escaneadas no mês anterior e que têm seu total de vulnerabilidades contabilizado no mês vigente
- Máquinas removidas da rede entre um mês e outro e a consequente falta de controle sobre tais mudanças
- Contabilização de vulnerabilidades recentes sem “descontá-las” do número total
- Problemas com credenciais e scans intrusivos que contabilizam menos vulnerabilidades do que deveriam
- Máquinas novas que entram na rede com imagens de S.O. e softwares antigos
Métricas recomendáveis
- Tempo de detecção
Objetivo: Mostrar o tempo médio entre a publicação de uma vulnerabilidade e sua detecção.
Justificativas:
- Geralmente as tecnologias registram, para cada ativo identificado, a data de publicação da vulnerabilidade e quando esta foi identificada.
- Auxilia na adequação dos períodos entre cada scan e na definição de scans pontuais como, por exemplo, quando uma nova vulnerabilidade crítica é descoberta.
- Tempo de Mitigação
Objetivo: Determinar o tempo que uma vulnerabilidade identificada foi corrigida.
Justificativas:
- Tecnologias de gerenciamento de vulnerabilidades registram a data em que uma vulnerabilidade foi mitigada, facilitando a geração deste tipo de indicador.
- Esse é um indicador fundamental para mostrar a efetividade do programa de VM. O tempo de mitigação é determinante para se evitar uma quebra de segurança.
- Taxa de aplicação de patches
Objetivo: Apurar a efetividade do trabalho da equipe.
Justificativa:
- Apesar de ser um pouco mais trabalhoso, com esse indicador é possível visualizar quantos patches ou correções a equipe técnica conseguiu aplicar durante um período, buscando um equilíbrio entre qualidade e efetividade.
- Baseline ou Golden Machine
Objetivo: Destacar quais máquinas apresentam maior risco.
Justificativas:
- Um scan é executado em uma máquina ideal (Golden Machine) que possua as correções mais recentes aplicadas e que, preferencialmente, tenha as mesmas condições que uma máquina nova na rede.
- Uma pontuação é determinada para essa máquina baseada, por exemplo, no total de vulnerabilidades e seus níveis de criticidade.
- Máquinas que tenham desvios acima da pontuação da Golden Machine devem ter as correções priorizadas pela equipe técnica.