Controle de vulnerabilidades

Ter ciência das vulnerabilidades que afetam o conjunto de programas que são utilizados em sua instituição, bem como daquelas que atingem os componentes que são desenvolvidos independentemente do sistema, é uma etapa importante do controle que assegura que esses programas devam estar com as correções aplicadas e livres das vulnerabilidades conhecidas.

Os componentes desenvolvidos de forma independente por terceiros podem ser bibliotecas de código aberto ou proprietárias que são utilizadas para a composição do programa. Por isso, é importante que o catálogo de programas em produção contenha informações completas do ambiente utilizado para sustentar cada programa, inclusive as versões do conjunto de bibliotecas, além dos servidores de aplicação eventualmente utilizados. Manter esse catálogo de forma independente ou como parte de um banco de dados do gerenciamento de configuração – CMDB – faz parte do processo de gerenciamento de configuração que é comumente executado por grandes corporações.

O registro das vulnerabilidades descobertas é realizado pelo Common Vulnerabilities and Exposures – CVE – uma equipe que concede um identificador e mantém uma base com detalhes relevantes de vulnerabilidades de forma pesquisável e distinguível de outras falhas aparentemente similares. Antes de tornar pública a vulnerabilidade, o fornecedor ou desenvolvedor são notificados para que seja possível a disponibilização de correções, quando a vulnerabilidade for divulgada. Embora o CVE mantenha informações sobre as vulnerabilidades, normalmente o fornecedor de cada software mantém uma forma de notificar seus usuários quando uma nova vulnerabilidade for registrada.

Assegurar que os itens do catálogo de programas em produção estejam com suas versões atualizadas, ou seja, que não sejam susceptíveis a vulnerabilidades conhecidas e tornadas públicas pelo CVE, é um controle essencial que deve ser associado a política de segurança de informação – PSI – e ratificado pelo sistema de gestão de segurança da informação – SGSI – da instituição.

Um evento recente de exploração de vulnerabilidade conhecida pode causar prejuízo de $68,6 bilhões de dólares a empresa Equifax e tem sido atribuído equivocadamente ao fornecedor do software, ainda que a correção já estivesse disponível há alguns meses e publicada no CVE. Entretanto a falha deve ser atribuída a problemas com controles de segurança da informação da organização. Dries Buytaert e Mark Shropshire também mantém posições neste sentido nos artigos Não culpe o software de código aberto por práticas de segurança precárias e O que podemos aprender com a invasão a Equifax?

As organizações devem considerar a adoção da gestão por processos, bem como contar com especialistas para projetar processos efetivos e eficientes, além de selecionar pessoas comprometidas ao cumprimento dos processos, que, como consequência, construir-se-á a inteligência corporativa, que é o que de fato criará o diferencial competitivo às organizações privadas, bem como a segurança necessária às organizações governamentais.

reinaldoc