.png)
.png)
.png)
.png)
.
Para gerenciar as vulnerabilidades de sua empresa de maneira eficaz, vale a pena passar por várias etapas preparatórias. É necessário primeiro avaliar a infraestrutura de TI e os processos atuais de segurança da informação, identificar os tipos de vulnerabilidades mais perigosos, determinar as áreas de responsabilidade do pessoal, etc. Vamos descobrir quais perguntas você precisa responder antes de implementar um programa de gerenciamento de vulnerabilidades em um organização.
Vulnerabilidades de software, erros de configuração e ativos de TI não registrados existem em qualquer organização. Algumas dessas questões são mais perigosas do ponto de vista da segurança da informação e outras menos. Mas, de qualquer forma, eles abrem caminho para invasores na infraestrutura interna da empresa. Você pode reduzir o número de ameaças potenciais e existentes à segurança cibernética criando um programa de gerenciamento de vulnerabilidades. Este é um processo que consiste em várias etapas importantes:
- Inventário regular de infraestrutura
- Varredura de vulnerabilidade
- Processamento de resultados de varredura
- Eliminando vulnerabilidades
- Controlar a implementação das tarefas acima
Conforme mencionado acima, você não pode iniciar um programa de gerenciamento de vulnerabilidades “em um piscar de olhos”. Primeiro, você precisa fazer a “lição de casa”: avaliar a infraestrutura e os processos de segurança da informação existentes, entender o nível de treinamento da equipe e escolher uma ferramenta e um método de verificação. Caso contrário, o gerenciamento de vulnerabilidades e as vulnerabilidades existirão separadamente um do outro.
Avaliação dos processos de segurança da informação na empresa
O primeiro passo para o gerenciamento eficaz de vulnerabilidades é uma avaliação dos processos de negócios e segurança da informação. A organização pode fazer isso por conta própria ou contratar um auditor externo.
Ao avaliar os processos de segurança da informação, vale a pena responder às seguintes perguntas:
- Existe um processo de controle centralizado de todos os ativos de TI da empresa e qual a sua eficácia?
- Existe atualmente uma prática estabelecida de encontrar e corrigir vulnerabilidades de software? Quão regular e eficaz é?
- O processo de controle de vulnerabilidade está descrito na documentação interna de segurança da informação e todos estão familiarizados com esses documentos?
Suponha que as respostas a essas perguntas não correspondam à situação real da empresa. Nesse caso, a avaliação será incorreta e muitos erros aparecerão ao implementar ou refinar o programa de gerenciamento de vulnerabilidades.
Por exemplo, muitas vezes uma empresa possui uma solução de gerenciamento de vulnerabilidades, mas ela não está configurada corretamente ou não há um especialista que possa gerenciá-la com eficiência.
Formalmente, o gerenciamento de vulnerabilidade existe, mas, na realidade, parte da infraestrutura de TI é invisível para a ferramenta e não é verificada, ou os resultados da verificação são mal interpretados. Esses resultados de interpretações mal compreendidas precisam ser tratados nas empresas.
Com base nos resultados da auditoria, deve ser gerado um relatório que demonstre claramente como estão organizados os processos na empresa e quais são as deficiências que eles apresentam no momento.
Escolhendo uma ferramenta de digitalização
Hoje, existem várias opções para implementar o gerenciamento de vulnerabilidades. Alguns fornecedores oferecem autoatendimento e simplesmente vendem o scanner. Outros fornecem serviços especializados. Você pode hospedar scanners na nuvem ou nos perímetros da empresa. Eles podem monitorar hosts com ou sem agentes e usar diferentes fontes de dados para reabastecer sua vulnerabilidade bancos de dados.
Nesta fase, as seguintes perguntas devem ser respondidas:
- Como a infraestrutura de TI da organização é construída e quão específica ela é?
- Existem peculiaridades regionais no trabalho da empresa?
- Existem muitos hosts remotos?
- A empresa possui especialistas qualificados para fazer a manutenção do scanner?
- Seu orçamento permite que você compre software adicional?
Construir interação entre a segurança da informação e as equipes de TI
Esta é talvez a etapa mais difícil, pois aqui é necessário construir adequadamente a interação das pessoas. Via de regra, os especialistas em segurança de uma organização são responsáveis pela segurança da informação, e a equipe de TI é responsável pela eliminação de vulnerabilidades. Acontece também que as questões de TI e segurança da informação são de responsabilidade de uma equipe ou mesmo de um funcionário.
Mas isso não muda a abordagem da distribuição de tarefas e áreas de responsabilidade e, às vezes, nesse estágio, o número atual de tarefas está além do poder de uma pessoa.
Como resultado, um processo consistente e síncrono de eliminação de vulnerabilidades deve ser formado. Para fazer isso, é necessário determinar os critérios de transferência de informações sobre vulnerabilidades descobertas da equipe de segurança da informação para TI (ou seja, formar um método de transferência de dados conveniente para todos).
Na verdade, o maior problema é a ausência de um bom analista que possa auditar com competência as fontes de notícias e priorizar as vulnerabilidades. Notícias, boletins de segurança e relatórios de fornecedores geralmente indicam quais vulnerabilidades devem ser abordadas primeiro. Na minha experiência, os analistas devem lidar com as vulnerabilidades mais perigosas. Todos os outros trabalhos devem ser feitos automaticamente, processando remendos recebidos de fornecedores de software.
Alguns tipos de vulnerabilidades (malwarefox pontocom; ataque de dia zero) e ataques são difíceis de detectar. Para controlar efetivamente todos os processos, nesta fase de construção de um programa de gerenciamento de vulnerabilidades, você precisa discutir e concordar com KPIs e SLAs para as equipes de TI e segurança.
Por exemplo, para a segurança da informação, é importante definir requisitos para a velocidade de detecção de vulnerabilidades e a precisão na determinação de sua import&a