Blog

Não se gerencia o que não se mede

Written by NEC | 12/fev/2019 18:00:00

Ao adotar um programa de gerenciamento de vulnerabilidades, uma atividade fundamental é medir sua eficiência. Essa medição, além de evidenciar as melhorias quanto à prevenção de riscos, embasa a justificativa de investimentos em tecnologia, processos e equipe técnica.

 

Desvios

Basicamente, todo programa tem como métrica a contabilização do total de vulnerabilidades registradas em um determinado mês e a evolução deste número nos meses subsequentes. Após um tempo, é comum achar problemas e desvios difíceis de se justificar, levando às seguintes conclusões:

  • Máquinas que não foram escaneadas no mês anterior e que têm seu total de vulnerabilidades contabilizado no mês vigente
  • Máquinas removidas da rede entre um mês e outro e a consequente falta de controle sobre tais mudanças
  • Contabilização de vulnerabilidades recentes sem “descontá-las” do número total
  • Problemas com credenciais e scans intrusivos que contabilizam menos vulnerabilidades do que deveriam
  • Máquinas novas que entram na rede com imagens de S.O. e softwares antigos

 

Métricas recomendáveis

  • Tempo de detecção
    Objetivo: Mostrar o tempo médio entre a publicação de uma vulnerabilidade e sua detecção.
    Justificativas:
    • Geralmente as tecnologias registram, para cada ativo identificado, a data de publicação da vulnerabilidade e quando esta foi identificada.
    • Auxilia na adequação dos períodos entre cada scan e na definição de scans pontuais como, por exemplo, quando uma nova vulnerabilidade crítica é descoberta.
  • Tempo de Mitigação
    Objetivo: Determinar o tempo que uma vulnerabilidade identificada foi corrigida.
    Justificativas:
    • Tecnologias de gerenciamento de vulnerabilidades registram a data em que uma vulnerabilidade foi mitigada, facilitando a geração deste tipo de indicador.
    • Esse é um indicador fundamental para mostrar a efetividade do programa de VM. O tempo de mitigação é determinante para se evitar uma quebra de segurança.
  • Taxa de aplicação de patches
    Objetivo: Apurar a efetividade do trabalho da equipe.
    Justificativa:
    • Apesar de ser um pouco mais trabalhoso, com esse indicador é possível visualizar quantos patches ou correções a equipe técnica conseguiu aplicar durante um período, buscando um equilíbrio entre qualidade e efetividade.
  • Baseline ou Golden Machine
    Objetivo: Destacar quais máquinas apresentam maior risco.
    Justificativas:
    • Um scan é executado em uma máquina ideal (Golden Machine) que possua as correções mais recentes aplicadas e que, preferencialmente, tenha as mesmas condições que uma máquina nova na rede.
    • Uma pontuação é determinada para essa máquina baseada, por exemplo, no total de vulnerabilidades e seus níveis de criticidade.
    • Máquinas que tenham desvios acima da pontuação da Golden Machine devem ter as correções priorizadas pela equipe técnica.