0
0
Os executivos de segurança há muito que conhecem a importância de abordar as vulnerabilidades nos seus ambientes informáticos.
E outros executivos de C-Suite aperceberam-se também da importância desta tarefa, dado o número de violações de alto nível que ocorreram como resultado de um sistema não corrigido.
As recentes notícias devem dissipar quaisquer dúvidas sobre a importância desta tarefa.
A Comissão Federal de Comércio dos EUA, por exemplo, no início de janeiro, notificou a comunidade empresarial para se dirigir à Log4j, escrevendo num post online que “o dever de tomar medidas razoáveis para mitigar as vulnerabilidades de software conhecidas implica leis, incluindo, entre outras, a Lei da Comissão Federal de Comércio e a Lei Gramm Leach Bliley. É fundamental que as empresas e os seus vendedores que dependem da Log4j atuem agora, para reduzir a probabilidade de danos para os consumidores, e para evitar ações legais por parte da FTC”.
A FTC tem boas razões para alertar para estes problemas: Os relatórios concluem consistentemente que as vulnerabilidades desconhecidas continuam a ser um importante vetor de ataque.
Considere os números no relatório Ransomware Spotlight Year End 2021 das empresas de segurança Ivanti, Cyber Security Works e Cyware. O relatório conta 65 novas vulnerabilidades relacionadas com ransomware em 2021, um aumento de 29% em relação ao ano anterior, e conta um total de 288 vulnerabilidades conhecidas associadas ao ransomware.
Apesar destes resultados, muitas organizações carecem de um programa formal de gestão da vulnerabilidade. Um inquérito realizado em 2020 pelo Instituto SANS, uma organização de formação e certificação em cibersegurança, concluiu que quase 37% têm apenas uma abordagem informal ou não têm qualquer programa.
Os líderes de segurança experientes concordam que a gestão da vulnerabilidade não deve ser tratada de uma forma ad hoc ou através de métodos informais. Em vez disso, deveria ser programática para impor ação, responsabilidade e melhoria contínua.
Para este fim, estes peritos indicam 12 passos para construir um programa de gestão de vulnerabilidade de classe mundial:
1. construir uma equipa
“Antes de comprar qualquer coisa, fazer qualquer processo ou criar procedimentos, é preciso construir uma equipa”, diz Daniel Floyd, que como CISO da Blackcloak supervisiona o seu SOC, plataforma de inteligência de ameaças, testes de penetração e equipas forenses digitais.
Para além de atribuir trabalhadores de segurança e TI que normalmente lidam com a gestão de vulnerabilidades e a aplicação de patches, Floyd recomenda a inclusão de outros interveniente chave, tais como funcionários do lado das empresas que podem falar sobre o impacto que a organização enfrenta quando os sistemas são desligados para reiniciação, para que a equipa possa compreender como o seu trabalho afeta os outros.
2. manter um inventário atualizado e completo dos bens
Outro elemento crítico para qualquer programa eficaz de gestão de vulnerabilidades é um inventário de ativos atualizado com um processo para assegurar que é mantido tão definido e completo quanto possível. “É definitivamente algo que todos conhecem, mas é uma área que é realmente difícil”, diz Floyd, particularmente nos ambientes modernos atuais com os seus artigos físicos, ligações remotas de empregados e componentes de IOT, bem como clouds, SaaS e elementos de código aberto.
Mas o trabalho árduo é crítico, diz Alex Holden, CISO da Hold Security e membro do Grupo de Trabalho de Tendências Emergentes do ISACA. “É preciso ter tudo isto em mente, para que quando algo novo surge se saiba se é algo a que se deve dirigir”.
3. Desenvolver um “foco obsessivo na visibilidade”
Com um inventário completo dos bens no local, William MacMillan, vice-presidente sénior da Salesforce para a segurança da informação, defende que se dê o próximo passo e se desenvolva um “foco obsessivo na visibilidade”, através da “compreensão da interconetividade do seu ambiente, onde os dados e as integrações fluem”.
“Mesmo que ainda não esteja maduro na sua viagem para ser programático, começa com a peça de visualização”, diz. “O dólar mais poderoso que se pode gastar em segurança cibernética é compreender o seu ambiente, conhecendo todas as suas coisas. Para mim, essa é a fundação da tua casa, e tu queres construir sobre essa sólida fundação”.
4. Seja mais agressivo com a digitalização
O scanning de vulnerabilidade é outro elemento crítico de um programa robusto de cibersegurança, mas os peritos dizem que muitas organizações que estão a realizar scans regulares ainda não estão a identificar problemas porque não estão a ser suficientemente minuciosas. “Penso que as pessoas não o estão a cobrir”, diz Floyd.
Como resultado, programas de gestão de vulnerabilidade de alto desempenho adotaram práticas de varrimento mais agressivas que incorporam múltiplas opções de varrimento. Floyd, por exemplo, diz acreditar que as equipas devem incluir scans credenciados para uma busca mais completa de configurações fracas e patches em falta, além de executar scans de rede baseados nos agentes mais comummente utilizados.
5. Ter fluxos de trabalho documentados e deliberados
Programas maduros e bem estabelecidos de gestão da vulnerabilidade documentaram e deliberaram fluxos de trabalho que estabelecem o que acontece e quem é responsável por quê, diz MacMillan.
“As empresas maiores e mais complexas compreendem que as vulnerabilidades de segurança são uma ameaça existencial e que têm de passar a fase ad hoc bastante rapidamente, e estabelecer o que tem de acontecer de uma forma deliberada e focada”, explica ele.
As equipas de segurança em todo o mundo podem beneficiar de seguir essas melhores práticas e estabelecer esses fluxos de trabalho, acrescentando automatização sempre que possível.
Além disso, MacMillan diz que as equipas devem desenvolver um quadro operacional comum, com os mesmos dados e informações sobre ameaças disponíveis para todos os membros da equipa que trabalham na gestão de vulnerabilidades. “Todos devem operar a partir desse quadro operacional comum, e todos devem sincronizar-se”, acrescenta.
6. Estabelecer e acompanhar os KPIs
“Para validar a eficácia dos seus controlos e demonstrar à direção que é eficaz, é bom ter métricas que informem sobre o desempenho do seu programa de gestão da vulnerabilidade”, diz Niel Harper, diretor do ISACA e CISO de uma grande empresa global.
Ele diz que as organizações poderiam utilizar qualquer um dos indicadores-chave de desempenho normalmente utilizados – tais como a percentagem de vulnerabilidades críticas remediadas a tempo e a percentagem de vulnerabilidades críticas não remediadas a tempo – para medir o estado atual e acompanhar a melhoria ao longo do tempo.
Outros KPIs a utilizar poderiam ser a percentagem de bens inventariados, o tempo de deteção, o tempo médio para reparação, o número de incidentes devidos a vulnerabilidades, a taxa de reabertura de vulnerabilidades e o número de exceções concedidas.
Como Harper explica: “Tudo isto dará à gerência uma ideia de como o seu programa de gestão da vulnerabilidade está a funcionar bem.
7. Benchmarking
O acompanhamento dos KPIs pode indicar se o seu próprio programa de gestão de vulnerabilidades está a melhorar com o tempo, mas terá de o comparar com os esforços de outras empresas para determinar se o seu programa supera ou fica aquém das outras, diz Harper.
“O benchmarking ajuda-o a compreender o seu desempenho em comparação com os seus pares e concorrentes, e também dá garantias à gestão de que o seu programa de gestão de vulnerabilidades é eficaz”, diz. “Pode também servir como um diferenciador no mercado, que pode até ser utilizado para conduzir a linha de topo”.
Harper diz que os prestadores de serviços geridos têm frequentemente dados que as equipas de segurança podem utilizar para este exercício.
8. Responsabilizar alguém e prestar contas pelo sucesso
Para ter um verdadeiro programa de gestão da vulnerabilidade, vários peritos dizem que as organizações devem responsabilizar alguém pelo seu trabalho e, em última análise, pelos seus sucessos e fracassos.
“Tem de ser um cargo nomeado, alguém com um trabalho de liderança, mas separado da CISO, porque a CISO não tem tempo para seguir os KPIs e gerir equipas”, diz Frank Kim, fundador da ThinkSec, uma empresa de consultoria em segurança e consultoria da CISO, e um membro da SANS.
Kim diz que as empresas maiores têm normalmente trabalho suficiente de gestão da vulnerabilidade para que alguém assuma este papel a tempo inteiro, mas as empresas mais pequenas e médias que não requerem um gestor a tempo inteiro devem ainda assim fazer com que esta responsabilidade seja uma parte oficial do trabalho de alguém.
9. Alinhar os incentivos com a melhoria do programa
Atribuir responsabilidade pelo programa é um passo, mas Kim e outros dizem que as organizações devem também estabelecer incentivos, tais como bónus, ligados à melhoria dos KPI.
“E incentivar não só as equipas responsáveis pela realização dos patches, mas também as partes interessadas em toda a organização”, diz Floyd, quer esses incentivos sejam sob a forma de compensação extra, dias de bónus ou outras formas de reconhecimento. “Trata-se de incentivar e celebrar o sucesso. Mostra que isto deveria ser uma prioridade”.
10. Criar um programa de recompensa de bugs
A Salesforce recompensou os hackers éticos com mais de 2,8 milhões de dólares em recompensas em 2021 por identificarem problemas de segurança nos seus produtos, vendo esta recompensa de bugs como uma parte importante da gestão de vulnerabilidades, diz MacMillan.
MacMillan recomenda que outras organizações implementem programas de recompensa de bugs como parte dos seus esforços de gestão da vulnerabilidade. “É uma forma eficaz de trazer os problemas à luz”, diz.
Outros concordam. Holden, por exemplo, diz que as organizações mais pequenas podem criar um programa interno de recompensa de bugs que recompensa os empregados que encontram vulnerabilidades ou trabalham com entidades externas ou empresas de segurança cibernética que oferecem tais serviços para explorar um maior conjunto de conhecimentos especializados.
11. Estabelecer expectativas e ajustá-las ao longo do tempo
O número de falhas de segurança informática divulgadas publicamente na lista de Vulnerabilidades e Exposições Comuns (CVE) continua a crescer, e o número de novas falhas acrescentadas anualmente tem aumentado quase todos os anos durante a última década. Em 2011 houve 4.813 CVE; em 2020 houve 11.463, de acordo com uma análise da Kenna Security.
Dado o volume, os peritos concordam que as organizações devem dar prioridade às vulnerabilidades que representam os maiores riscos para elas, para que possam enfrentá-las primeiro.
Peter Chestna, CISO da Checkmarx, concorda, mas também diz que as organizações devem ser francas e claras sobre as prioridades e centrar o seu programa de gestão da vulnerabilidade naquelas que realmente planeiam abordar.
Por exemplo, se uma organização planeia abordar apenas as vulnerabilidades classificadas como altas, porquê mesmo analisar as de baixo risco? Chestna explica que uma tal abordagem pode drenar recursos e distrair as equipas do trabalho de alta prioridade, tornando-as mais suscetíveis de ignorar questões críticas.
“Em vez disso, é preciso definir as regras que se pretende seguir (têm de ser regras que se possam realmente seguir) e depois segui-las”, diz, acrescentando que isto ajuda a organização a concentrar-se melhor na redução do risco. “E quando formos realmente bons nessas prioridades mais elevadas, então falaremos sobre a abertura das comportas”.
12. Relatório sobre o desempenho do programa às partes interessadas
Para além de manter os interessados dentro da organização informados sobre qualquer trabalho de remendo que possa afetar o seu acesso aos sistemas, os peritos dizem que o departamento de segurança deve relatar o desempenho global do programa de gestão da vulnerabilidade, enquadrado em termos empresariais em torno do risco e da redução do risco.
“Isto é algo que deve reportar ao seu conselho de administração”, acrescenta Floyd. “Preste contas a si mesmo”.
FONTE: COMPUTERWORLD