A análise de vulnerabilidade é uma das melhores ferramentas que um negócio pode empregar para aumentar a segurança do seu ambiente de Tecnologia da Informação (TI). Você sabe exatamente qual é o conceito da análise de vulnerabilidade e como ela funciona?
Neste post, essas perguntas serão respondidas! Venha com a gente e conheça as três fases do processo.
O que faz a análise de vulnerabilidade
Análises de vulnerabilidade identificam, quantificam e priorizam o que há de mais frágil nos seus sistemas, a fim de tornar sua segurança mais robusta. E, embora sejam tradicionalmente executadas em ambientes de TI, elas não se limitam a essa aplicação.
É possível fazer uma análise de vulnerabilidade em sistemas elétricos ou de comunicação, por exemplo. Além disso, tanto os pequenos quanto os grandes negócios podem se beneficiar dela.
Uma análise de vulnerabilidade é diferente de um teste de penetração porque seus objetivos são distintos. Enquanto o teste explora táticas específicas de invasão, a análise identifica todas as brechas existentes em um sistema.
Em geral, análises de vulnerabilidade são divididas em três etapas. Conheça-as melhor a seguir.
Avaliação de risco
A primeira etapa em qualquer análise de vulnerabilidade é avaliar os riscos. Para isso, é preciso, acima de tudo, entender e identificar como um negócio funciona. Nenhuma análise de vulnerabilidades será idêntica a outra porque cada uma delas tem um contexto diferente.
Nessa fase, o ideal é colaborar com tantos membros da equipe quanto possível para entender os processos e as infraestruturas fundamentais para a empresa. Só assim é possível começar a analisar os dados e as aplicações que sustentam as operações.
Durante a avaliação de risco, o ideal é localizar e classificar os ativos da organização. Esse processo envolve relacionar servidores, estações de trabalho, dispositivos móveis e todos os tipos de mídias que podem ser alvos de ataques.
Em seguida, é preciso classificá-los quanto ao tipo de informação que carregam. É comum utilizar uma escala de 1 a 5 na qual:
- 1 – diz respeito às informações públicas sobre a companhia;
- 2 – são os dados internos, que não são confidenciais;
- 3 – aqui estão as informações sensíveis, como planos de negócios;
- 4 – estes são os dados que não podem ser vistos nem mesmo por todos os funcionários, como as planilhas de salários;
- 5 – englobam todas as informações confidenciais.
Avaliação de vulnerabilidades
Passando para a etapa de avaliação de vulnerabilidades, será preciso utilizar o conhecimento adquirido no passo anterior. Aqui a equipe deve criar um modelo das principais ameaças a seus ativos e, para isso, pode utilizar métodos tradicionais, como o STRIDE, da Microsoft.
O método STRIDE tem esse nome porque cada uma de suas iniciais corresponde a uma ameaça:
- Spoofing of identity (roubo de identidade ou falsificação);
- Tampering with data (violação ou adulteração de dados);
- Repudiation of transaction (repúdio de transação);
- Information disclosure (divulgação não autorizada de informação);
- Denial of service (ataques de negação de serviço);
- Elevation of privilege (elevação de privilégio).
Pode-se, então, criar uma planilha com todos os ativos do negócio e a categoria STRIDE de ameaça que ele sofre. E, sempre que possível, deve averiguar a probabilidade de um ataque ocorrer, utilizando uma escala de 0-10.
É comum escanear um sistema por vulnerabilidades para encontrar os dados relevantes para essa etapa.
Tratamento do risco
A última etapa da análise de vulnerabilidade é sempre o tratamento do risco. Nesse momento, a organização deve fazer o possível para mitigar as vulnerabilidades detectadas.
Sabendo exatamente qual a porcentagem dos sistemas que está sob risco e identificando a importância de cada um deles, é possível enumerar as ameaças que devem ser endereçadas primeiro. Se há vulnerabilidades nos controles existentes, por exemplo, elas devem ser corrigidas o quanto antes.
A chave aqui é entender como o tipo de risco que o negócio corre pode ser evitado e quais são as ferramentas mais eficazes para isso. Uma análise de vulnerabilidade pode ajudar o negócio a evitar problemas no futuro.
Manter-se informado sobre questões de segurança é também um passo importante. Assine a newsletter da Alerta Security e esteja sempre por dentro das novidades da área.