Gestão de vulnerabilidades: a importância de mapear riscos e estabelecer estratégias
Como um movimento natural que surge para auxiliar no equilíbrio entre inovação tecnológica e proteção de dados, a legislação atual apresenta um passo necessário para a evolução das formas de compartilhamento e processamento de informações pessoais, em que o epicentro é o próprio indivíduo, o dono desses dados.
A Lei Geral de Proteção de Dados Pessoais, ou simplesmente LGPD, estabelece regras para a coleta e o tratamento de dados pessoais, bem como responsabilidades para os agentes envolvidos, responsáveis por proteger o cidadão dos inúmeros excessos ocorridos nos últimos anos.
E como trata a lei em seus artigos que estabelece medidas técnicas razoáveis em segurança da informação, uma das técnicas que deve fazer parte é a gestão de vulnerabilidades técnicas, assim como a proteção das estações de trabalho e servidores (endpoints). Com as crescentes ameaças de ataques virtuais que exploram as falhas dos sistemas operacionais e sistemas da informação, faz-se necessário o estabelecimento de um calendário robusto, que seja voltado à gestão de vulnerabilidades, com ciclos contínuos de tratamento e mitigação das falhas de segurança destes sistemas. E uma das maneiras de se tratar estas vulnerabilidades é a execução de pentest semestrais/anuais, não só da infraestrutura, mas também a adoção de técnicas seguras no seu desenvolvimento de sistemas.
Além da execução do pentest, o uso de ferramenta de scan de vulnerabilidade aliado a um calendário de scanning e mitigação em conformidade com o calendário de atualização dos players de mercado utilizados na organização ajuda a estabelecer um controle mais efetivo, minimizando os possíveis impactos ao ambiente digital. Tendo uma vigilância constante dos ativos de informação, é possível mantê-los mais protegidos. E, como suporte a este tipo de iniciativa, temos as boas práticas de mercado – como, por exemplo, o uso de OpenVAS para mitigação de vulnerabilidades e os princípios de desenvolvimento seguro OWASP.
O OpenVAS é considerado um completo scanner de vulnerabilidades. Seus recursos incluem testes não autenticados, testes autenticados, diversos protocolos industriais e de Internet de alto e baixo nível, ajuste de desempenho para verificações em larga escala e uma poderosa linguagem de programação interna que permite implementar qualquer tipo de teste de vulnerabilidade. E os princípios de desenvolvimento seguro OWASP (Open Web Application Security Project) buscam mitigar os 10 principais problemas de segurança:
1 – Minimizar a superfície de área de ataque;
2 – Estabelecimento de Padrões;
3 – Princípio do Menor Privilégio:
4 – Princípio da Defesa em Profundidade;
5 – Falhar com Segurança
6 – Não confiar nos Serviços;
7 – Separação de deveres;
8 – Evitar a segurança por obscuridade;
9 – Manutenção de segurança simples;
10 – Correção de Problemas de Segurança da maneira correta.
A lista acima é baseada no consenso entre a comunidade de desenvolvedores sobre os principais riscos de segurança, e atualizada de tempos em tempos à medida que os riscos mudam e novos surgem. Como você pode ver, a lista explica as falhas de segurança de aplicativos da Web mais perigosas, fornecendo às empresas recomendações para lidar com elas.
Com muitos avanços acontecendo nesta era de digitalização, precisamos dar um foco considerável no preenchimento de lacunas de vulnerabilidade, minimizando os riscos de hackers e, assim, protegendo os ativos digitais. Cabe à cada organização investir e dedicar tempo e recursos a isto, de forma a garantir a segurança de todos.
* Marcelo Mendes Santos é gerente de TI CISO da NEO