Onde procurar por vulnerabilidades?

Tipicamente deveríamos varrer todos os ativos de tecnologia que possam expor a empresa a algum tipo de risco: servidores, dispositivos de rede, impressoras, estações de trabalho etc.

Para isso é muito importante possuir um catálogo atualizado destes ativos para que as análises de vulnerabilidades ocorram na totalidade de ativos disponíveis na empresa.

Com o advento da virtualização de máquinas, tornou-se fácil e rápido publicar novos sistemas e conhecer estas máquinas é de fundamental importância para o bom funcionamento do programa de gestão de vulnerabilidades a ser implementado.

Uma varredura na rede para identificar novos ativos, deve sempre anteceder as análises de vulnerabilidade.

Conhecendo a população real de ativos, na sequência conseguimos organizar estes em grupos, e separá-los da melhor forma que convier:

Por localidade

• São Paulo
• Rio de Janeiro
• Brasília
• Brasil
• Estados Unidos
• Holanda etc.

Ou por tipo de tecnologia

• Servidores de página
• Servidores de banco de dados
• Servidores de correio
• Estações de trabalho
• Impressoras etc.

A primeira varredura

Se esta será sua primeira varredura, talvez realizar este teste em uma amostra reduzida de ativos da rede seja ideal para que qualquer tipo de ajuste de configuração da ferramenta possa ser realizada ser impactar nenhuma outra atividade.

É importante ter em mente quais configurações queremos verificar ex:

• Quais portas TCP
• Quais portas UDP
• Quais assinaturas ou vulnerabilidades pesquisar

Varredura através de um firewall

Se você deseja verificar um ativo ou porção de ativos que está atrás de algum dispositivo de segurança de rede, a ferramenta que será utilizada para as varreduras não deve ser filtrada por este dispositivo, pois pode impactar os resultados da análise.

Isso vale para firewalls de borda, IDS/IPS, WAF, roteadores, etc, incluindo versões destes para “endpoint”.

Varredura autenticada

Análises de vulnerabilidade para fins de auditoria exigem este tipo de configuração. Desta maneira a quantidade de problemas de segurança pode aumentar bastante, uma vez que a possibilidade de verificar informações de versões de aplicativos e outros registros na máquina é maior.

Lembrando também que ainda temos muitos problemas de segurança no nível de sistema operacional e serviços de rede, mas a maioria das novas vulnerabilidades está associada a ferramentas de escritório, navegadores web, sistemas de ERP etc.

Os primeiros resultados

Com os resultados das varreduras em mãos podemos começar a entender em detalhe os problemas de segurança da organização e desenhar algumas ações de correção.

Uma análise de vulnerabilidade completa de uma grande infraestrutura pode apresentar uma quantidade enorme de informações, o que dificulta a leitura e entendimento dos resultados.

As empresas de consultoria, serviços gerenciados ou mesmo os profissionais desta organização devem polir estes resultados e criar diferentes estratégias para diferentes grupos de leitura:

• Gerencia e governança de TI
• Segurança da Informação
• Equipes de resolução e suporte
• Auditores
• Grupos de leitura diversos
• Integração do resultado com outras ferramentas

Desta forma conseguimos maximizar investimento já realizado em diferentes áreas aproveitando o mesmo resultado, mas usando da produção de diferentes conjuntos de informação.

Podemos exemplificar com alguns relatórios bastante comum, mas importantes:

Ativos mais vulneráveis

Ex.: Você pode apontar aqui o TOP 10 de ativos mais vulneráveis da empresa e assim direcionar força de trabalho para estes.

Vulnerabilidades mais encontradas

Ex.: Apontar o TOP 10 de vulnerabilidades que mais se repetem em diferentes ativos.

Relatório de correções

Ex.: Tipicamente uma única solução pode corrigir mais de uma problema, em mais de um ativo. É interessante agrupar estas correções para priorizar a aplicação das correções no parque de máquinas.

E o CVE?

O Mitre é responsável por manter uma lista de vulnerabilidades catalogadas e alimentada por pesquisadores de segurança que submetem novas descobertas de problemas de segurança ou novas formas de exploração de um problema já conhecido.

As principais vulnerabilidades de segurança recebem este identificador e ajuda aos fabricantes, pesquisadores e analistas de segurança a consultar um padrão de informação sobre determinado problema e discutir melhor como sugerir correções.

Outra fonte de informação bastante útil é o Bugtrag mantido pela Security Focus.

Exploit

Encontrar um código que explora a vulnerabilidade encontrada pode não ser uma tarefa tão difícil assim. Páginas como a do http://exploit-db.com possuem um banco de dados gratuito e com uma enorme coleção desses códigos.

Empresas como a Immunity e Core também produzem estes exploits e integram num framework privado de testes de invasão.

É preciso que se diga que a execução deste tipo de código pode acarretar em falha e/ou parada dos serviços afetados, portanto estes mecanismos caso executados devem ser acompanhados por uma equipe técnica capacitada em testes de invasão.

Testes de invasão

Muitas empresas compram serviço profissional de teste de invasão com a expectativa de receber um relatório de vulnerabilidades. Pois aqui vai um teste de invasão gratuito:

Você esta vulnerável!

O resultado de um teste de invasão pode te ajudar a verificar se determinada informação circula pelo meio digital sem nenhum tipo de camada de segurança, como por exemplo: Números de cartão de crédito, CPF, RG, documentos estratégicos, informação de clientes e fornecedores etc., ou seja, existe um objetivo bastante específico para determinar se esta informação confidencial pode ser manipulada ou acessada por um usuário indevido.

Os profissionais que realizam este tipo de teste irão vasculhar de diversas maneiras se é possível acessar esta informação da empresa e aí apresentar um relatório de como o objetivo foi atingido no caso de uma vulnerabilidade. Veja que este objetivo estará sempre muito bem definido e conhecer outras falhas da infraestrutura de TI não fazem parte nesta abordagem, apenas aquelas que levam ao alvo determinado.

Correção

O investimento em análises de vulnerabilidade e atualizações de segurança é sem prazo determinado. Se você realizar um teste na sua rede hoje e corrigir todos os problemas, no teste de amanhã novos problemas aparecerão, pois falhas de segurança surgem a todo momento. Algumas empresas como a Idefense empresa parte do grupo Verisign, compra essas falhas de pesquisadores no mercado para alimentar clientes das empresas com essas novidades de ameaças.

Do lado dos fabricantes de software, a Microsoft, por exemplo, divulga toda segunda terça-feira de cada mês os novos problemas conhecidos em seus produtos.  Este evento é conhecimento como Patch Tuesday e pode ser acompanhado pelo site deles em http://technet.microsoft.com/en-us/security/bulletin .

O mais importante é conhecer estes problemas o quanto antes, pois mesmo sem uma solução correta ainda que do fabricante do software você pode implementar medidas de contornos através de novos processos.

Algumas ferramentas no mercado possibilitam a integração com ferramentas de distribuição de pacotes na rede o que pode ajudar a ter escalabilidade e uma remediação mais rápida principalmente para as falhas críticas que podem comprometer a empresa.

Estabelecer novos acordos de nível de serviço com as equipes de TI é fundamental na perspectiva de diminuição do risco e tempo vulnerável a falha. Mas lembre-se que é difícil corrigir algo que você ainda não conhece, por isso a importância de janelas curtas de análises de vulnerabilidade e distribuição de correções.

Ferramentas

O Gartner responsável por analisar a performance de diversos produtos e empresas no mercado de TI em geral e também faz igualmente para o mercado de Vulnerability Assessment. Você vai precisar de uma conta para olhar estes resultados, mas pode te ajudar a ter uma terceira opinião sobre qual ferramenta escolher para  sua empresa.

Algumas dessas ferramentas são “consumidas” no modelo de consultoria uma vez que as principais empresas de serviço profissional em segurança da informação possuem licenças destes produtos. O ponto é como consumir, visto que desta maneira tipicamente você vai receber apenas alguns relatórios e não iniciar um programa de gestão de vulnerabilidades para integrar com outras ferramentas e processos já estabelecidos.

Administração da solução

É importante verificar para cada solução que tipo de manutenção ou aquisição de outras ferramentas e serviços são necessários para o bom funcionamento desta assim você consegue mensurar melhor o custo total desta nova ferramenta para a empresa.

No mercado você pode encontrar ferramentas baseadas em aquisição de um produto, ou seja, vai consumir parte do seu orçamento para aquisição KAPEX ou ferramentas licenciadas na forma de serviço consumindo assim seu orçamento de OPEX.

Evitar ferramentas que possuem uma dificuldade muito grande de distribuição na sua infraestrutura de rede seja por dificuldade dos mecanismos de análise ou custos de instalação e manutenção desta é sempre importante olhar.

Serviços gerenciados de segurança

Além das tradicionais empresas de consultoria e integradores as empresas de serviço gerenciado de segurança são uma ótima alternativa para consumir resultados e análises de vulnerabilidade da sua infraestrutura. Algumas vantagens bastante visíveis nesse trabalho é a terceirização da administração das ferramentas e produção dos entregáveis como dashboards de risco e relatórios periódicos, mas o mais importante na minha visão é a possibilidade de reutilização e integração do resultado das análises em outras ferramentas e instrumentos de segurança da rede.

Cuidado na hora de consumir a execução de análises de vulnerabilidade da mesma empresa terceira que já administra seu parque de máquinas, pois alguns problemas podem não aparecer nos relatórios para evitar multas no primeiro contrato.

Algumas perguntas a se fazer!

Aqui segue um questionário simples com algumas perguntas que devem ser respondidas para iniciar um programa de gestão de vulnerabilidades:

Você possui uma lista atualizada de ativos?

Com qual frequência essa lista é atualizada?

_____ dias.

Como a ferramenta recebe essa lista atualizada para as análises de vulnerabilidade?

Você possui uma agenda periódica de execução de novas análises de vulnerabilidade na infraestrutura de TI? Se sim, qual a frequência?

_____ dias.

Você possui diferentes níveis de acordo de nível de serviço com as equipes de suporte?

Qual o tempo para correção de vulnerabilidades críticas?

_____ dias.

Qual o tempo para correção de vulnerabilidades não críticas?

_____ dias.

Como você notifica as equipes responsáveis pela correção?

Como você verifica se um problema de segurança foi corrigido?

Quais tipos de relatórios você gera com a informação do resultado das varreduras?

• Relatório de correções.
• Relatório de vulnerabilidades críticas.
• Relatório com os 10 ativos mais vulneráveis.
• Relatório dos 10 problemas de segurança que mais ocorrem na infraestrutura de TI.
• Outros. ____________________________________

Com qual frequência esses relatórios são criados e entregues aos grupos de leitura?

______ dias.

Com quais outras soluções você integra esses resultados?

• Firewall de borda
• IPS/IDS
• Web Application Firewall
• SIEM
• Patch Management
• GRC

[Webinsider]

…………………………

Leia também:

• A segurança dos sistemas deve ser prioridade nas empresas
• A inovação na área de segurança da informação
• Sobre leões, pés descalços e a excelência na defesa cibernética

…………………………

Conheça os cursos patrocinadores do Webinsider

• TreinaWeb – Cursos de Tecnologia da Informação – treinaweb.com.br/cursos-online
• Universidade Buscapé Company – Cursos de E-commerce e Marketing Digital – http://www.unibuscapecompany.com