Gestão de vulnerabilidades.

A gestão de vulnerabilidades é o ciclo de descoberta, priorização, remediação e verificação de vulnerabilidades no parque tecnológico. Os scanners identificam milhares; a disciplina está na priorização (criticidade do ativo + disponibilidade de exploit + exposição ao negócio) e não na simples digitalização. CVE, CVSS e KEV são o vocabulário de referência.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

A gestão de vulnerabilidades é o ciclo de descoberta, priorização, remediação e verificação de vulnerabilidades no parque tecnológico. Os scanners identificam milhares; a disciplina está na priorização (criticidade do ativo + disponibilidade de exploit + exposição ao negócio) e não na simples digitalização. CVE, CVSS e KEV são o vocabulário de referência.

Um ciclo, não uma varredura

A gestão de vulnerabilidades é muitas vezes reduzida a «executar o scanner», mas a varredura é a parte fácil. A disciplina é um ciclo que se repete: manter um inventário preciso do que se possui, descobrir as fraquezas nesses ativos, priorizar o punhado que realmente importa, remediá-las e verificar se a correção se manteve. Um scanner moderno entregará milhares de achados num parque de porte médio. Tratar essa lista como uma fila de tarefas é a forma como as equipas se esgotam enquanto a sua exposição real permanece aberta. O valor está no funil, dos milhares de achados em bruto até ao pequeno conjunto sobre o qual se atua esta semana.

Também depende de algo que a maioria das equipas subestima: conhecer o seu parque. Uma vulnerabilidade num servidor exposto à Internet que executa uma aplicação de negócio crítica é um problema diferente da mesma falha numa máquina de teste isolada. Sem inventário de ativos nem titularidade, a priorização não tem nada em que se apoiar, razão pela qual o ciclo começa pela descoberta e identificação em vez da varredura em si.

O vocabulário: CVE, CVSS e KEV

Três pontos de referência sustentam a maior parte da conversa sobre priorização, e os profissionais usam-nos em combinação em vez de isoladamente.

Como CVE, CVSS e KEV são usados
TermoO que éO que lhe indica
CVEUm identificador único para uma vulnerabilidade divulgada publicamenteUm nome comum para que todos falem da mesma falha através das ferramentas e dos avisos de segurança.
CVSSUm quadro de pontuação que classifica a gravidadeQuão grave é a falha em teoria, pelo seu impacto e características de explorabilidade. Um ponto de partida, não um veredicto.
KEVUm catálogo de vulnerabilidades conhecidas por estarem a ser exploradas em circulaçãoSe os atacantes a estão realmente a usar agora, o que eleva acentuadamente a prioridade no mundo real.

O erro comum é ordenar pela pontuação CVSS e trabalhar de cima para baixo. Um CVSS alto num ativo que ninguém consegue alcançar importa menos do que uma falha de gravidade média que consta num catálogo de vulnerabilidades conhecidas por estarem a ser exploradas num sistema exposto. Os programas maduros combinam a gravidade teórica com sinais reais: existe um exploit funcional, a vulnerabilidade está a ser ativamente explorada, e quão exposto e crítico é o ativo afetado. É essa combinação, não a pontuação em bruto, que conduz a fila.

A priorização é todo o trabalho

O enquadramento honesto é que a priorização é o produto da gestão de vulnerabilidades. As entradas são a criticidade do ativo, a disponibilidade de um exploit e a exposição do negócio, e a saída é uma decisão defensável sobre o que é corrigido primeiro e o que espera. É aqui que a função justifica o seu valor, porque nenhuma equipa pode nem deve remediar tudo de uma só vez.

  1. Criticidade do ativo: o que o sistema faz pelo negócio e o que pode alcançar se for comprometido.
  2. Disponibilidade de um exploit: se existe um exploit funcional e se a falha está a ser usada em circulação.
  3. Exposição do negócio: o ativo está exposto à Internet, que dados detém, e que controlos compensatórios já se encontram à sua frente.

Onde se enquadra na governança

A gestão de vulnerabilidades raramente é opcional uma vez que se está dentro de um quadro reconhecido. Um SGSI ISO/IEC 27001 espera um processo definido para gerir as vulnerabilidades técnicas, e os auditores pedirão para ver o ciclo em funcionamento, não apenas uma licença de scanner. O NIST Cybersecurity Framework trata a identificação e a gestão de vulnerabilidades como centrais para as funções Identify e Protect, e regulamentos como NIS2 e DORA pressupõem que as organizações encontram e remedeiam ativamente as fraquezas em vez de esperarem que um incidente as revele. Em todos os casos, a evidência que um avaliador deseja tem a mesma forma: como descobre, como prioriza, os SLA segundo os quais remedia, e as métricas que provam que o ciclo se está a fechar.

Frequently asked questions

01Qual é a diferença entre gestão de vulnerabilidades e gestão de patches?

A gestão de vulnerabilidades é o ciclo completo de descobrir, priorizar, remediar e verificar as fraquezas no seu parque. A gestão de patches é o processo operacional mais restrito de aplicar uma correção publicada segundo um SLA definido, com verificação. Aplicar patches é uma via de remediação comum dentro da gestão de vulnerabilidades, mas não a única.

02Devo simplesmente corrigir primeiro as pontuações CVSS mais altas?

Não. O CVSS classifica a gravidade teórica mas ignora se a falha é alcançável, está a ser explorada em circulação ou reside num ativo crítico. Uma ordem melhor combina o CVSS com a disponibilidade de um exploit, o estatuto de vulnerabilidade conhecida por estar a ser explorada e a sua própria criticidade e exposição dos ativos.

03O que são CVE, CVSS e KEV?

CVE é o identificador comum de uma vulnerabilidade divulgada específica. CVSS é um quadro que pontua quão grave é uma vulnerabilidade. KEV é um catálogo de vulnerabilidades conhecidas por estarem a ser ativamente exploradas, o que eleva acentuadamente a sua prioridade no mundo real.

04Porque é que o inventário de ativos faz parte da gestão de vulnerabilidades?

Não se pode priorizar o que não se pode ver. A mesma falha é trivial numa máquina de teste isolada e urgente num servidor crítico para o negócio e exposto. Um inventário e uma titularidade precisos são o que lhe permite transformar uma lista plana de achados numa ordem de remediação defensável.

05A gestão de vulnerabilidades é exigida para a conformidade?

Na prática sim, na maioria dos quadros. ISO/IEC 27001 espera um processo gerido para as vulnerabilidades técnicas, o NIST CSF integra-o nas funções Identify e Protect, e regulamentos como NIS2 e DORA pressupõem que encontra e corrige ativamente as fraquezas. Os avaliadores procuram o ciclo, os SLA e as métricas, não apenas um relatório de varredura.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.