Análise de Vulnerabilidade é feita para identificar e eliminar ameaças no seu sistema. Explicaremos melhor no decorrer do texto. Antes vamos conceituar melhor o que é ameaça, risco e vulnerabilidade. Ameaça se trata de um possível agente, capaz de acessar uma vulnerabilidade disponível. Já o risco pode ser definido com o que está em jogo para sua empresa, caso ocorra uma falha na segurança da sua empresa. Para concluir, Vulnerabilidade é a própria falha ou brecha na sua segurança.
Como acontece os ataques?
Os ataques podem ter várias motivações: demonstração de poder, motivação financeira, motivações ideológicas, entre outros. Estes ataques podem ser feitos através de:
Falha humana: quando um indivíduo executa uma ação específica. Isso pode ocorrer pela falsificação de um e-mail, por exemplo. Onde o e-mail enviado aparenta ser de uma origem confiável e por isso acaba sendo executado. Essas características de e-mail confiável é permitido graças as características do protocolo SMTP. Este ataque bastante usado é usado para o envio de spam ou golpes de phishing.
Interceptação de tráfego: é uma técnica que observa os dados dos tráfegos das redes de computadores por meio de programas específicos chamados de sniffers. Esta é uma técnica que também é usada legitimamente para identificar problemas na rede ou analisar desempenho.
Força bruta: este ataque acontece com tentativas de adivinhação do nome de usuário e senha.
Negação de serviço e ataque DDoS: técnica usada onde o ataque usa computadores para tirar do ar uma página ou aplicação. Quando esta técnica é usada por um conjunto de computadores, recebe o nome de ataque DDos.
O que é Análise de Vulnerabilidade?
A Vulnerabilidade pode ser definida como uma fraqueza capaz de tornar a segurança de um sistema comprometida. Ela age permitindo que um atacante viole e diminua a eficiência de segurança da informação de um sistema. Sendo assim a análise de vulnerabilidade é usada para aumentar a segurança do ambiente de trabalho, evitando que possíveis ataques aconteçam. Ela é utilizada para identificar o que há de vulnerável nos sistemas, sendo utilizada em sistemas elétricos ou de comunicação. Por ser utilizada a fim de tornar a segurança mais robusta, pode ser executada por empresas grandes e pequenas. A análise de vulnerabilidade é dividida em três etapas, veja a seguir:
Identificação de risco:
A identificação de riscos é feita a fim de identificar, corrigir e prevenir atividades irregulares que comprometa as atividades da empresa. Este risco pode ser identificado através de séries históricas, ou seja, com base em eventos antigos. Esta primeira etapa é dividida em outras quatro etapas:
- Identificação do ativo a ser protegido que podem ser pessoas, informações, atividades ou instalação física.
- Identificação das ameaças existentes, como por exemplo: aumento de fraudes e crimes cibernéticos, crescimento de impunidade, aumento de espionagem industrial, localização da organização, entre outros.
- Identificação das vulnerabilidades: feita através de auditoria e inspeção de segurança, onde é coletado dados sobre: segurança dos funcionários, segurança da informação, segurança física do local, etc.
- Definição dos riscos: feita com base nas vulnerabilidades localizadas, é definida quais os riscos elas trazem a segurança da organização.
Análise de riscos
Nesta segunda etapa da análise de vulnerabilidade, é analisado o quanto os riscos identificados podem prejudicar os objetivos da empresa. É identificado todos os riscos e dado a eles uma classificação de riscos, sendo assim definindo as prioridades e ações necessárias. Há vários métodos para esta análise de riscos como por exemplo, o Método William T Fine.
Este método é realizado em cima de duas variáveis , Grau de criticidade e Justificativa de Investimento. Em primeiro lugar é definido o Fator Consequência, ou seja, o prejuízo que será causado caso o problema ocorra de fato. Logo após é analisado o Fator Exposição ao Risco, determinando a frequência que o risco pode ocorrer. Em seguida, no Fator Probabilidade, é verificado a probabilidade do problema acontecer. Após dar uma nota a cada variável citada anteriormente é multiplicado o valor delas, sendo determinado o Grau de Criticidade. Logo é definido o tratamento de risco, que é classificado de acordo com resultado da multiplicação das variáveis. Confira a seguir:
Se o Grau de Criticidade for maior que 200, a correção deverá ser imediata.
Se o Grau de Criticidade for menor que 200, porém maior que 85, correção deverá ser urgente.
E se o Grau de Criticidade for menor que 85, risco deverá ser acompanhado.
Lembrando que esse foi apenas um exemplo, pois há vários métodos.
Avaliação de Riscos
Este é o processo onde o resultado é definido a solução para os riscos identificados, e já analisados. Esta etapa consiste em basicamente comparar o processo de avaliação com a de identificação dos resultados. Ou seja, avaliar o valor dos riscos e definir um método de tratamento.
Como realizar a Análise de Vulnerabilidade?
A Análise de Vulnerabilidade pode ser feita com a implantação de cuidados básicos na rotina organizacional. Vamos citar alguns exemplos:
Identificar todos os sistemas de dados que compõem a infraestrutura de tecnologia da sua empresa. Categorizando os tipos de hardware e softwares utilizados na rotina de trabalho, e também as pessoas que trabalham na área de TI. Além disso é ideal acompanhar as medidas já existentes de segurança da empresa.
Definir com a equipe de TI uma ferramenta de scanner de vulnerabilidade, também chamado de análise de rede. Este tipo de ferramenta, trabalha com a identificação de pontos vulneráveis existentes na rede. Além de utilizá lá e importante sempre realizar testes de segurança na sua empresa. É bom que a Análise de Vulnerabilidade ocorra em um tempo determinado.
Listar vulnerabilidades da sua infraestrutura de TI e após isso ordená-las por risco. Assim facilita na prioridade de correção, corrigindo as maiores falhas primeiro.
Conclusão
A Análise de Vulnerabilidade é de suma importância para a empresa, já que ela é capaz de identificar e mitigar falhas que possam comprometer o desempenho organizacional. Vimos também que com uma rotina de “pequenos cuidados” podemos impedir que nossos sistemas sejam invadidos, e que mesmo assim devemos executar a Análise de Vulnerabilidade para termos certezas de nossa segurança. Confira também nosso artigo sobre Cibersegurança!