Passos para reduzir os riscos ? O processo em funcionamento

Programas de gerenciamento de

vulnerabilidade eficazes requerem o equilíbrio certo entre

tecnologia, inteligência empresarial e processo. A tecnologia inclui,

necessariamente, scanners de vulnerabilidade como o FoundScan, da McAfee; o

QualysScan, da Qualy ou o Tenable Security Network, da Nessus; scanners de

aplicações, como o WebInspect, da Hewlett-Packard ou o AppScan, da IBM; e

ferramentas de configuração e gerenciamento de conserto. No entanto, sem vários

processos de gerenciamento de vulnerabilidade, tais ferramentas não serão tão

eficazes. 

Um processo vital é reduzir a exposição de uma empresa aos seus adversários – o

processo às vezes é conhecido como “redução da superfície de ataque”.

O termo “superfície de ataque” pode ser referente à suscetibilidade de

um programa a vários meios de ataque ou a um sistema como um todo. As empresas

geralmente usam uma combinação de exercícios de design de rede, gerenciamento

de acesso e gerenciamento de configuração para reduzir as superfícies de ataque.

Por exemplo, a superfície de ataque de um sistema pode ser reduzida ao se expor

apenas os serviços necessários para a rede, desabilitando ou removendo

softwares desnecessários ou limitando o número de usuários autorizados a logar

no sistema. 

Um programa de gerenciamento de vulnerabilidade eficaz também pode ajudar a

gerenciar a postura geral de segurança de uma empresa e sua tolerância ao

risco. Ao agregar dados sobre incidentes e vulnerabilidade, a área de TI pode

melhorar a segurança. Tendências e correlação de dados ajudam a mostrar como as

atividades internas e os eventos externos afetam o perfil de risco da empresa.

Essa análise ajuda a medir o sucesso de projetos como os consertos e manutenção

de sistemas, enquanto identifica áreas onde é necessário mais

investimento. 

Outro benefício dos programas

de gerenciamento de vulnerabilidade é que eles ajudam a alcançar objetivos de

compliance. Padrões técnico, frameworks operacionais, ajustes como

Sarbanes-Oxley e frameworks específicos para algumas industrias, como HIPAA e

PCI, têm estimulado as empresas a implementar controle e relatórios de seu

sucesso. Um programa de gerenciamento de vulnerabilidade eficaz pode ajudar a

demonstrar compliance com controle estabelecido, assim como alertar para

problemas de compliance. A combinação da correlação de dados e ferramentas com

um programa maduro de gerenciamento de vulnerabilidade pode

extrair estatísticas sobre período de validade de senhas padrão, tempo de

expiração e requerimentos complexos e colocá-las em relatórios de

compliance. 

No entanto, nós vimos empresas investir pesado em ferramentas de segurança e

scanners elaborados, apenas para ver suas equipes revisando resultados

semelhantes, relatório após relatório, mês após mês, ano após ano. O ciclo mensal

de ajustes é necessário mas relativamente bem conhecido com um mal que não

parece ter fim a curto prazo. Ainda assim, muitas empresas encontram problemas

em aplicações internas, deixando passar os ajustes por mais de 30 dias e

dispositivos que não são compatíveis com os padrões. Muitas das falhas que

levam a essas descobertas são sistemáticas por natureza, e a habilidade de

direcionar as causas-base é, geralmente, o que diferencia um programa de

gerenciamento de vulnerabilidade eficiente de um outro ineficiente.

  

Então como se quebra o ciclo da ineficiência? Alguns passos são de extrema

importância.

* Matthew Miller, Nathaniel

Puffer e Greg Shipley trabalham na Neohapsis, uma empresa de serviços e

software de gerenciamento de risco de informação

Esta é a segunda parte da

reportagem sobre gerenciamento de vulnerabilidade que o IT Web publica desde

quarta-feira (19/11). Acompanhe!

Leia mais:

Confira as todas as reportagens

Passos para reduzir os riscos

– primeira matéria

Passos para reduzir os riscos

– A integração de coleta de dados (a partir de 21/11)

Passos para reduzir os riscos

– Estabeleça prioridades (a partir de 24/11)

Passos para reduzir os riscos

– Continue refinando (a partir de 25/11)