O gerenciamento de vulnerabilidades (VM) é um componente crítico de qualquer programa de segurança cibernética. Realizar avaliações regulares de vulnerabilidade e identificar pontos fracos é importante, mas não suficiente – as vulnerabilidades encontradas também devem ser corrigidas para reduzir o risco. No entanto, na prática, corrigir vulnerabilidades pode ser bastante desafiador. Aqui estão os 5 principais motivos, segundo a Gartner:
1. Tentando corrigir todas as vulnerabilidades de uma vez
Quando uma avaliação de vulnerabilidade é concluída, é tentador querer corrigir todas as vulnerabilidades identificadas o mais rápido possível. No entanto, isso geralmente não é realista ou aconselhável. As organizações precisam priorizar com base no nível de risco e no valor do ativo afetado.
Algumas vulnerabilidades representam pouco risco real devido a outros controles de segurança já implementados. E corrigir centenas ou milhares de vulnerabilidades simultaneamente pode sobrecarregar drasticamente os recursos da TI. Em vez disso, as organizações devem priorizar e corrigir as vulnerabilidades de alto risco primeiro. Isso fornece o maior retorno de segurança no menor tempo possível.
2. Comunicação inadequada entre equipes
O gerenciamento de vulnerabilidades requer estreita coordenação entre as equipes de segurança que identificam as vulnerabilidades e as equipes de TI/operações que precisam corrigi-las. Sem comunicação eficaz e integração de trabalho, as vulnerabilidades não serão tratadas de forma oportuna e eficaz.
As equipes de segurança precisam fornecer detalhes claros e ações recomendadas para as equipes de TI. E as equipes de operações precisam manter as equipes de segurança atualizadas sobre o andamento da correção. Sem essas informações compartilhadas e feedback em looping, as vulnerabilidades tendem a cair entre as lacunas.
3. Recursos insuficientes para remediação
Corrigir vulnerabilidades exige tempo, pessoal e recursos financeiros. Se esses recursos forem inadequados, as vulnerabilidades se acumularão. As equipes precisam de tempo para testar, validar e implantar correções. Elas também precisam garantir que as correções não causem interrupções ou efeitos colaterais negativos.
Se as vulnerabilidades estão sendo identificadas mais rápido do que podem ser corrigidas, a organização precisará reavaliar a alocação de recursos. O subfinanciamento prolongado da remediação de vulnerabilidades cria riscos significativos.
4. Corrigindo apenas vulnerabilidades “Alta” e “Crítica”
É tentador focar apenas nas vulnerabilidades classificadas como “Alta” ou “Crítica”. No entanto, vulnerabilidades menores também representam riscos e eventualmente devem ser abordadas. Invadir uma organização geralmente envolve explorar várias vulnerabilidades menores em sequência.
Além disso, uma vulnerabilidade pode não ser crítica em um ativo de baixo valor, mas muito perigosa em um ativo crítico. Portanto, uma abordagem equilibrada é necessária, priorizando com base no risco, não apenas na classificação. Vulnerabilidades menores ainda precisam ser rastreadas e eventualmente corrigidas.
5. Concedendo exceções amplas ou eternas
Às vezes, as equipes de TI podem solicitar exceções para não corrigir determinadas vulnerabilidades. Isso pode fazer sentido em casos limitados, mas exceções amplas ou indefinidas são arriscadas.
Exceções devem ter limites de tempo bem definidos e requerem análise de risco contínua. Por exemplo, uma exceção pode ser apropriada se um patch causar indisponibilidade do sistema durante o pico de vendas. Mas essa exceção não deve persistir indefinidamente.
Exceções também devem ser específicas e focadas. Conceder uma exceção para toda uma classe de ativos abre brechas desnecessárias. As organizações devem ter um processo rigoroso de análise, aprovação e monitoramento de exceções.
Disciplina para chegar ao ROI
Corrigir vulnerabilidades é essencial, mas desafiador. Existem armadilhas comuns, como tentar fazer muito ao mesmo tempo, comunicação deficiente, recursos inadequados, foco estreito demais e excesso de exceções. Superar esses desafios requer processo, governança e recursos adequados para gerenciamento de vulnerabilidades. Mas com uma abordagem disciplinada, as organizações podem maximizar seu retorno de investimento em segurança e minimizar os riscos.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui