Sua empresa precisa gerenciar as vulnerabilidades de segurança
Por Carlos Borges*
À medida que crescem os casos de roubos de dados corporativos por conta das brechas de segurança de TI nas empresas, maior se torna a preocupação dos gestores em relação à proteção de suas informações.
Segundo dados da Association of Certied Fraud Examiners (ACFE), as fraudes relacionadas às vulnerabilidades de TI são responsáveis por prejuízos financeiros que chegam a 5% do faturamento anual das empresas. No Brasil, considerando o país mais atacado da América Latina, os cibercriminosos permanecem em média 242 dias sem serem identificados no ambiente de TI, sendo que são necessários 99 dias, em média, para que o ataque seja contido.
De acordo com os reports anuais da Verizon, grande parte das vulnerabilidades exploradas em incidentes de segurança foram descobertas há mais de um ano, na qual o tempo médio entre sua divulgação e sua exploração é de cerca de 30 dias. Além disso, sabemos que as vulnerabilidades antigas são muito usadas para promover novos ataques. De acordo com os reports anuais da Verizon, grande parte das vulnerabilidades exploradas em incidentes de segurança foram descobertas há mais de um ano, na qual o tempo médio entre sua divulgação e sua exploração é de cerca de 30 dias. Além disso, sabemos que as vulnerabilidades antigas são muito usadas para promover novos ataques.
Diante desse cenário, o caminho mais eficiente para prevenir ataques e diminuir a exposição da empresa é manter os softwares sempre atualizados. Para isso, certamente, você precisa de um programa de gerenciamento das vulnerabilidades adaptado à realidade da sua corporação.
Para ter sucesso nessa etapa, estão listadas algumas dicas provenientes da vivência de especialistas na área: programa:
Assine um feed de vulnerabilidades: Fique atento à divulgação dos fornecedores das tecnologias de segurança utilizadas na sua organização. Uma boa opção pode ser a adoção de um feed, que centralizará a coleta de informações sobre novas vulnerabilidades. Um bom ponto de partida pode ser este aqui.
Sinergia entre os responsáveis: Acompanhe de perto o trabalho exercido pelas equipes, principalmente os responsáveis pela correção das vulnerabilidades. Criar uma reunião semanal em seu processo para tratar os assuntos pertinentes pode ser uma forma de integrar melhor as ações.
Atuação em áreas críticas: Estas precisam, obviamente, de um cuidado especial. Convoque os responsáveis da área e explique os riscos e os benefícios que seu programa trará. Isto pode evitar problemas futuros ou facilitar a resolução deles, caso ocorram. Atenção para sistemas industriais, servidores de e-commerce, sistemas de nota fiscal e pagamentos.
Imagem de S.O. padrão: Item fundamental para o bom andamento do programa, anal, não queremos ter retrabalho ao colocar uma máquina na rede com vulnerabilidades que já teriam sido tratadas anteriormente.
Sistemas legados: Toda empresa já se deparou com esta situação – sistemas imprescindíveis para o negócio da empresa, mas que não possuem suporte nem atualização. Defina formas de reduzir os riscos como aplicação de virtual patching e restrição de acessos para a tecnologia na rede.
Cuidado com os números: Máquinas entram e saem da rede diariamente. Consequentemente o número de vulnerabilidades pode mudar “sem justificativa” aparente de um mês para outro. Fique atento a estes detalhes.
Evite conflitos durante o scan: Certas áreas de negócios possuem necessidade de completa disponibilidade durante alguns dias do mês. Verifique se sua empresa tem essa exigência e adeque as datas de scan.
Revise os resultados: Todas as máquinas tiveram sucesso na execução? Houve algum erro de credencial? Bloqueios no rewall? Estes são erros comuns que interferem bastante nos resultados do processo.
Essas medidas são essenciais para mitigar riscos, prevenir ciber-ataques, manter um ambiente mais saudável do ponto de vista de infraestrutura e melhorar a performance corporativa. Pense nisso e invista corretamente na proteção dos dados do seu negócio.
Carlos Borges é especialista em Cibersegurança do Arcon Labs, laboratório de inteligência em cibersegurança.*