Qual a eficiência do seu Gerenciamento de Vulnerabilidades?

Algo muito comum entre as empresas que adotam um programa de gerenciamento de vulnerabilidades é a forma de medir a sua eficiência. Essa medição, além de evidenciar as melhorias quanto à prevenção dos riscos, ajuda a justificar o investimento em tecnologia, processo, corpo técnico e serviços gerenciados de segurança.

Basicamente, todo programa terá como métrica a contabilização do total de vulnerabilidades registradas em um determinado mês e a evolução deste número nos meses subsequentes. Após um tempo, é comum achar problemas e desvios difíceis de se justificar. A análise destes desvios geralmente leva às seguintes conclusões:

  • Máquinas que não foram escaneadas no mês anterior e que tem seu total de vulnerabilidades contabilizado no mês vigente
  • Máquinas removidas da rede entre um mês e outro e a consequente falta de controle sobre estas mudanças
  • Contabilizar vulnerabilidades recentes e não ter algum desconto deste número no crescimento da quantidade total
  • Problemas com credenciais e scans intrusivos que contabilizam menos vulnerabilidades do que deveriam
  • Máquinas novas que entram na rede com imagens de S.O. e softwares antigos

A causa destes desvios pode reduzir, em geral, problemas com atualização de inventário e um processo ainda em desenvolvimento.

Enquanto os desvios acima são revistos e os resultados melhoram, pense na adesão de algumas métricas adicionais e interessantes:

  • Tempo de Detecção: Este indicador pode mostrar o tempo médio entre a publicação de uma vulnerabilidade e sua detecção.
  • Geralmente as tecnologias registram, para cada ativo identificado, a data de publicação da vulnerabilidade e quando esta foi identificada em cada ativo.
  • Este indicador pode auxiliar na adequação dos períodos entre cada scan e na definição de scans pontuais. Exemplo: quando uma nova vulnerabilidade crítica é descoberta.
  • Tempo de Mitigação: Este indicador mostra o tempo para que uma vulnerabilidade identificada seja corrigida.
  • Tecnologias de gerenciamento de vulnerabilidades também mantém um registro da data em que uma vulnerabilidade foi mitigada, facilitando a geração deste tipo de indicador
  • Esse é um indicador fundamental para mostrar a efetividade do programa de VM. O tempo de mitigação é fundamental para se evitar uma quebra de segurança, mas claro, há outros fatores que a equipe de segurança deve se atentar também.
  • Taxa de Aplicação de Patches: Este é um indicador mais complicado de se criar, mas mede bem o trabalho da equipe envolvida no processo de VM.
  • Com esse indicador é possível visualizar quantos patches ou correções a equipe técnica consegue aplicar durante um período, tentando sempre chegar num medidor ideal entre qualidade e efetividade.
  • Baseline ou Golden Machine: Este indicador ajuda a destacar quais máquinas apresentam maior risco em comparação a outras.
  • Um scan é executado em uma máquina ideal (Golden machine) que possui as correções mais recentes aplicadas e que preferencialmente tem as mesmas condições que uma máquina nova na rede.
  • Uma pontuação é determinada para essa máquina baseada, por exemplo, no total de vulnerabilidades e seus níveis de criticidade
  • Máquinas que tenham desvios acima da pontuação da Golden Machine devem ter as correções priorizadas pela equipe técnica.
  • Também é de fundamental importância manter a imagem de S.O. atualizada. Este pode ser um processo trabalhoso e constante, mas certamente evitará retrabalho e dificuldades futuras.

Com estas métricas adicionais, gestores terão informações mais precisas para gestão de risco e gerenciamento da equipe técnica, enquanto a mesma terá formas adicionais de priorização de suas atividades e métricas que mostrem o resultado de seu esforço.

Referências:
NIST – Guide to Enterprise Patch Management Technologies
SANS – Implementing Vulnerability Management Process
Tenable - Vulnerability Management Metrics

Arcon Serviços Gerenciados de Segurança

 

Nova call-to-action