Sabia que a gestão de vulnerabilidades pode consumir mais de 40% dos recursos da TI? As etapas de trabalho podem incluir o escaneamento e a detecção de vulnerabilidades, a análise de impacto e os procedimentos de remediação. Mesmo assim, o nível de exposição das empresas continua alto.
O Relatório de Ameaças 2016, publicado pela iBLISS no último ano, identificou mais de 18 mil vulnerabilidades nas empresas brasileiras em 2016. O estudo descobriu falhas de acesso remoto, desatualização, gerenciamento de configuração, gerenciamento de sessão, protocolo inseguro, levantamento de informações, teste de autenticação, teste de autorização, validação de dados, negação de serviço e lógica de negócios.
O tempo médio de 103 dias necessário para remediar uma vulnerabilidade também mostra que os esforços na gestão de vulnerabilidades não têm sido suficientes. Saiba mais sobre os principais obstáculos na gestão de vulnerabilidades:
Abordagem reativa ainda é a realidade das empresas
A maioria dos programas de gestão de vulnerabilidades falha porque as empresas estão focadas em se recuperar de um ataque e não na prevenção de incidentes futuros. Essa abordagem reativa faz com que as equipes foquem a maior parte dos seus esforços na reparação de sistemas e na mitigação de riscos depois que a empresa já sofreu uma violação.
Apesar de muitas aplicações serem vulneráveis, grande parte das vulnerabilidades mais graves se refere a falhas de configuração e desatualização. Segundo o Relatório de Ameaças 2016, 92% das vulnerabilidades críticas de infraestrutura correspondem à desatualização de sistemas.
Os dados mostram que as empresas precisam identificar e remediar vulnerabilidades de forma proativa, sempre avaliando a rede em busca de más configurações, sistemas desatualizados, arquivos impróprios e outros conteúdos maliciosos.
Desperdício em tarefas manuais
As empresas acabam gastando muito tempo e dinheiro na verificação e na análise vulnerabilidades, especialmente com tarefas manuais, como coleta, análise e priorização de dados de escaneamentos. Essa abordagem, além de não ser efetiva, também consome muitos recursos do departamento de TI – processos de rastreamento e relatório podem custar semanas de trabalho dos profissionais de TI e segurança.
O resultado desse trabalho incansável é descobrir, após analisar longas planilhas de dados, que é impossível identificar e remediar todas as vulnerabilidades antes de um hacker explorá-las.
As empresas podem reduzir consideravelmente os custos e otimizar o uso dos recursos na identificação e na remediação de vulnerabilidades críticas priorizando os riscos únicos e exclusivos ao negócio da empresa.
Falta de dados contextuais
A maioria das empresas conta com uma estratégia de segurança em camadas, que traz múltiplas plataformas de segurança para cobrir diferentes áreas da rede, como perímetro, aplicações, arquivos do sistema, usuários, entre outros componentes. Essas soluções de segurança podem gerar milhares de dados todos os dias, mas falham em entregar informações contextuais de acordo com o impacto no negócio.
As equipes de TI precisam de uma plataforma capaz de reunir múltiplos dados em um único dashboard para obter inteligência contextual. Só assim é possível visualizar imediatamente quais vulnerabilidades seguem sem remediação e seu impacto no negócio de acordo com os ativos afetados.
Conheça o GAT da iBLISS
O GAT, plataforma exclusiva desenvolvida no Brasil pela iBLISS, oferece aos líderes de negócio e de TI os recursos necessários para vencer os principais desafios da gestão de vulnerabilidades nas empresas.
A plataforma é capaz de reunir dados de múltiplas plataformas de segurança e auditoria em um único dashboard para fornecer aos profissionais de TI uma visão ampla do grau de exposição dos ativos corporativos.
Além disso, o GAT é capaz de classificar as vulnerabilidades em diferentes níveis de criticidade e permite aos líderes de negócio acompanhar de perto seu processo de remediação por diferentes equipes de trabalho.
Conheça o GAT e saiba mais sobre como a plataforma pode otimizar seus processos de gestão de vulnerabilidades.
