Em termos de segurança da informação, uma vulnerabilidade é uma fragilidade encontrada em um ativo ou em um controle e que pode ser explorada por uma ou mais ameaças, o que se torna um risco de segurança. Uma forma de proteger as informações é através da identificação, avaliação, priorização e correção das deficiências identificadas nos ativos. Esta atividade é conhecida como Vulnerability Assessment e visa encontrar as fragilidades nas plataformas de software ou hardware para resolver as falhas, antes que elas possam gerar um impacto negativo.
Etapas para a avaliação de vulnerabilidades
Também conhecida como análise de vulnerabilidades, é considerada uma avaliação, pois, além de cobrir a fase de análise, envolve também uma avaliação das fragilidades identificadas, utilizando diferentes critérios que permitem qualificar e quantificar seu impacto.
Em geral, vulnerabilidades podem ser encontradas em sistemas, pois os mesmos podem conter falhas de segurança conhecidas e desconhecidas (vulnerabilidades de 0-day), configurações padrão ou resultado de erros de configuração.
Para resolver esses problemas, é possível aplicar diferentes métodos para realizar a avaliação de falhas na infraestrutura de uma empresa. Em geral, são consideradas as seguintes atividades:
- Obter a aprovação para a avaliação de vulnerabilidades
Como as atividades relacionadas com a identificação de vulnerabilidades podem ser classificadas como intrusivas pelas ferramentas de segurança que são instaladas dentro da infraestrutura da empresa, é necessário ter a aprovação para executar o scanner, agendar a atividade e notificar as partes interessadas, ou seja, aquelas que podem afetar ou ser afetadas por essa atividade.
- Gerar um inventário de ativos
Uma boa prática relacionada ao gerenciamento de segurança consiste na criação e manutenção de um inventário de ativos associados às informações e sistemas, usados para processar, armazenar ou transmitir essas informações. Quando a lista estiver disponível, os ativos nos quais a avaliação será realizada devem ser selecionados. Em geral, os testes devem se concentrar nos elementos críticos, relacionados aos processos mais importantes.
- Definir o escopo da avaliação
Derivado da geração do inventário e da seleção dos objetivos, a avaliação pode ser executada de duas maneiras: interna e externa. Do ponto de vista interno, a varredura é realizada a partir da infraestrutura da empresa, com acesso aos recursos de forma direta. A avaliação externa envolve lidar com a proteção de perímetro na rede corporativa e adotar a posição que um atacante teria em busca de alguma vulnerabilidade.
- Coletar informações, identificar e avaliar vulnerabilidades
A avaliação pode ser feita manualmente ou automatizada através de alguma ferramenta, para obter informações relevantes sobre vulnerabilidades nos sistemas considerados. Após a identificação dos pontos fracos e a obtenção das informações a eles relacionadas, é necessário realizar um processo de avaliação que permita conhecer seu impacto. Para isso, é possível usar um sistema de pontuação como o CVSS. É importante mencionar que ferramentas especializadas permitem automatizar essas atividades.
- Gerar um relatório de resultados
Com base nos resultados da avaliação, deve ser gerado um relatório que permita conhecer o estado de segurança nos sistemas com base nas descobertas. Neste processo, é interessante mostrar os resultados através da priorização de vulnerabilidades, com o objetivo de, primeiramente, abordar as fragilidades de maior impacto sobre os ativos.
- Gerar um plano de remediação
Como última atividade associada à avaliação de vulnerabilidades, é necessário desenvolver e executar um plano de remediação que permita corrigir as falhas identificadas e avaliadas, de acordo com os resultados da priorização. Em geral, a correção dessas falhas está relacionada à aplicação de atualizações ou patches de segurança.
Razões para realizar uma avaliação de vulnerabilidade
A exploração de vulnerabilidades tornou-se a principal preocupação das empresas em questões de segurança, seguida por outros incidentes como infecção por malware, fraudes, ataques de phishing ou negação de serviço (DoS).
Portanto, a avaliação torna-se relevante para evitar os incidentes relacionados à exploração dos mesmos e como meio de aplicação de um elemento da chamada segurança ofensiva, através dos scanners de vulnerabilidades.
Na próxima semana, mostraremos como utilizar o OpenVAS, uma ferramenta gratuita para realizar a análise e avaliação de vulnerabilidades, e desta forma contribuir para a segurança dos sistemas.