BART: Conheça a ferramenta da Clavis para gerenciamento de vulnerabilidades

 

Introdução

Em janeiro de 2017, a analista de Segurança Andra Zaharia publicou um artigo em que caracterizou o ano de 2016 como o “mais cheio de eventos na área de segurança”. O argumento de Zaharia pode ser validado pelas estatísticas de novas vulnerabilidades de software, mas ganha mais significado quando lembramos dos importantes modelos de ataque que vimos surgir ou se consolidar, como o ataque DDoS baseado em dispositivos de IoT em 21 de outubro de 2016 ou a consolidação do ransonware em ataques de grandes proporções.

Este momento, em que acabamos de passar pelo primeiro semestre de 2017, é uma boa oportunidade para avaliar os seis meses que passaram e tentar construir um prognóstico para os próximos seis meses, buscando entender se o presente ano seguirá os mesmos padrões e tendências do ano passado. E, aparentemente, não haverá mudanças. Ao mesmo tempo, já observamos ataques de elevadas proporções e grande impacto, como, por exemplo, o ransomware WannaCry, que infectou mais de 400 mil máquinas.

 

Vulnerabilidades, riscos e ataques

Chamamos atenção, no entanto, para os dois aspectos que estamos levando em consideração em nossa análise: vulnerabilidades e ataques. Estes dois aspectos são, em geral, tratados como dimensões inseparáveis do mesmo problema, mas esta é uma visão equivocada, como discutiremos, a seguir.

Vulnerabilidade é a presença de uma falha de segurança em uma aplicação e que pode ser, potencialmente, explorada em um ataque. E ataque é justamente a exploração de uma vulnerabilidade, levando a um impacto concreto a um indivíduo ou organização.

O surgimento de vulnerabilidades é inevitável: enquanto houver um programador escrevendo linhas de código, haverá falhas sendo produzidas. Processos maduros de desenvolvimento podem, certamente, reduzir sensivelmente o volume e a severidade das vulnerabilidades, mas é ingênuo acreditar na eliminação completa de violações a boas práticas de programação e desenvolvimento de software.

No entanto, o surgimento de vulnerabilidades não implica, necessariamente, a realização de ataques de grandes impactos, como os que temos observado. Um bom processo de gerenciamento de vulnerabilidades permite a pessoas e organizações identificar vulnerabilidades assim que elas surgem, caracterizar precisamente os riscos associados àquelas vulnerabilidades, e planejar correções de forma a mitigar riscos. Em outras palavras, se vulnerabilidades são inevitáveis, aprendamos a gerenciá-las.

Vamos a um exemplo. Suponha que sua organização usa um determinado sistema operacional em diversos servidores, e que acaba de ser divulgada uma vulnerabilidade que permite a um atacante, sob determinadas condições, alcançar privilégios de administrador. Naturalmente, a revelação de tal vulnerabilidade é um fato altamente relevante e que demanda ações imediatas, mas que devem ser executadas de maneira coordenada e sistemática. A primeira coisa a ser feita é identificar os ativos vulneráveis, ou seja determinar quais ativos da organização possuem, de fato, a configuração que o torna vulnerável, e a partir de que locais estes ativos estão acessíveis. Embora a manutenção de “inventários” contendo informações de ativos e configurações possa ser útil, a melhor forma de identificar se um ativo está, efetivamente, vulnerável, é a partir de varreduras (scans) executados a partir de diversos pontos da rede da organização. Uma vez realizadas as varreduras, a organização terá uma visão precisa sobre quais ativos possuem a vulnerabilidade, e passa-se, então, à segunda etapa, que é entender e caracterizar os reais riscos associados à vulnerabilidade. Explicando melhor. Mesmo uma vulnerabilidade considerada “crítica” – por exemplo, por permitir escalada de privilégios até o nível de administrador e, portanto, total controle do ativo por parte do atacante – pode levar a níveis de risco diferentes se o ativo vulnerável é uma equipamento em uma rede interna segregada ou se é o servidor que roda a principal aplicação da organização. Caracterizar riscos é uma atividade importante porque permite que se priorize as ações de correção das vulnerabilidades e mitigação de riscos, que são a terceira etapa do processo de gerenciamento de vulnerabilidades. e – caso já se tenha disponível um patch – ou de mitigação de riscos – caso em que a vulnerabilidade foi divulgada mas o patch ainda não foi desenvolvido, cenário em que o tratamento de riscos pode ser bastante complexo.

Ferramentas para Gerenciamento de Vulnerabilidades

O número de novas vulnerabilidades que surgem a cada dia e quantidade e variedade de configurações de ativos de uma organização tornam praticamente obrigatório o uso de um sistema automático para apoio ao processo de gerenciamento de vulnerabilidades, atuando na identificação de ativos vulneráveis, priorização e planejamento de correção de vulnerabilidades. Mostraremos, agora, como um sistema deste tipo pode ajudar uma organização no processo de gerenciamento de vulnerabilidades de uma organização.

O sistema BART é um sistema desenvolvido pela Clavis justamente para apoiar processos de gerenciamento de vulnerabilidades em organizações. BART é acrônimo para “Baselines, Análise de Riscos e Testes de Segurança” e reflete a visão de se atuar em todo o processo de gerenciamento de vulnerabilidades, fornecendo ao usuário todos os recursos para eliminar vulnerabilidades e mitigar riscos de maneira eficiente.

A tela inicial padrão do BART já dá uma dica de como uma ferramenta como esta pode apoiar no processo de gerenciamento de vulnerabilidades.

Nesta tela, é possível ter uma visão geral e histórica das vulnerabilidades de software de sua organização, organizadas por severidade. Trata-se de uma visão bastante “consolidada”, sendo, portanto, bastante útil para avaliar o processo de gerenciamento de vulnerabilidades de forma ampla, observando fatores como a série histórica de surgimento de novas vulnerabilidades, a distribuição por severidade e o tempo médio de correção.

O sistema BART é extremamente flexível nas atividades de mapeamento de ativos e identificação de vulnerabilidades. Embora possua uma engine própria para a realização de varreduras, o BART integra-se com os principais scanners do mercado. Além disso, por meio de uma arquitetura distribuída, o BART é capaz de agregar os resultados de varreduras executadas em toda a organização, em diversas sub-redes e ambientes.

Seguindo nesta rápida visão da ferramenta, apresentamos alguns exemplos de relatórios que podem ser gerados pela ferramenta, apresentando maior grau de detalhamento em relação às vulnerabilidades identificadas na organização.

Outro aspecto interessante da ferramenta é a capacidade de delegar tarefas e responsabilidades. Por meio do cadastro de usuários e definição de perfis e papéis, é possível gerenciar o processo de identificação, priorização e tratamento de vulnerabilidades mesmo que as atividades estejam distribuídas entre dezenas de pessoas na organização.

Outra funcionalidade do sistema BART é a emissão de alertas, que são gerados toda vez que uma vulnerabilidade crítica é identificada – seja pela divulgação de uma vulnerabilidade, seja pela modificação de uma configuração que venha a tornar vulnerável um ativo. A política de divulgação de alertas é completamente configurável, e pode fazer uso de diversos canais de comunicação, incluindo email, SMS e serviços de mensageria.

Resultado de Pesquisas e Produto Estratégico de Defesa

O BART é construído com tecnologia desenvolvida e dominada no Brasil, em projetos de pesquisa executados pela Clavis com apoio de agências de fomento como a Finep, o CNPq e a FAPERJ. Por este motivo, pode ser viabilizado com custos de licenciamento sensivelmente inferiores aos de seus concorrentes. Por conter tecnologia relevante para a área de segurança e, portanto, importante para a defesa nacional, o BART foi cadastrado no Siscaped como um Produto Estratégico de Defesa (PED). O credenciamento como PED representará o reconhecimento de que o BART contém alta tecnologia em segurança, portanto, relevante para a Segurança Cibernética do país.

Para conhecer mais sobre o BART e sobre como ele pode ajudar sua organização a identificar e tratar vulnerabilidades, solicite uma apresentação aos analistas da Clavis.