Gerenciamento de Vulnerabilidades para Iniciantes: Por Que e Para Quem?

Está começando uma série de artigos sobre gerenciamento de vulnerabilidades (VM) do zero: para aqueles que estão apenas entrando no assunto e para administradores que foram subitamente solicitados a "fechar as vulnerabilidades". Explico o que está dentro, por que esta é a segunda edição e qual a relação com "Redes para Iniciantes".

📚 Esta é a introdução à série "Gerenciamento de Vulnerabilidades para Iniciantes", um guia prático de VM do zero. Haverá 21 capítulos e uma conclusão, um por semana. O índice e todas as partes da série estão aqui.

Nos exemplos, você encontrará produtos da Positive Technologies, na maioria das vezes o MaxPatrol VM. Simplesmente porque trabalho mais de perto com eles e mostrar a prática com o que se conhece por dentro é mais honesto do que com o que nunca se segurou. Isso não é publicidade: os princípios de VM não dependem do fornecedor.

Se você abriu este texto no Habr, provavelmente já ouviu falar sobre gerenciamento de vulnerabilidades. Talvez sua empresa tenha um scanner que alguém configurou e esqueceu. Talvez tenha chegado uma ordem do FSTEC e a chefia disse "coloquem ordem nisso". Ou talvez você esteja simplesmente cansado de acenar em reuniões onde se fala de CVSS, EPSS e algum CTEM, e quer finalmente entender o que funciona e o que são apenas belos slides de conferência.

Então, este é o lugar para você.

A série de posts deveria ter sido um livro para "os mais novos". Não no sentido de "para os estúpidos", mas no sentido de "do zero". Escrevi de forma que um estudante que sabe sobre segurança da informação principalmente das notícias sobre mais um vazamento pudesse entender. E para que, ao mesmo tempo, não fosse vergonhoso dar o livro a um administrador experiente, que o departamento de segurança da informação subitamente encarregou de "fechar rapidamente as vulnerabilidades lá".

A propósito, sobre o nome. Não é por acaso que rima com "Redes para Iniciantes", aquela lendária série no Habr, pela qual cresceu mais de uma geração de especialistas em redes (e em meu tempo, eu era um deles). SDSM mostrou em seu tempo: sobre coisas complexas pode-se escrever de forma simples, humana e sem chatice, e é exatamente esse formato que as pessoas leem avidamente. Fui honestamente inspirado por essa abordagem. E quero muito que o gerenciamento de vulnerabilidades tenha seu próprio guia assim do zero. Se funcionou ou não, cabe a você julgar nos comentários.

Por que a segunda edição A primeira versão foi escrita há alguns anos. E o que se descobriu: no gerenciamento de vulnerabilidades, alguns anos equivalem a uma era inteira.

Enquanto o livro vivia sua própria vida, o mundo mudou muito. A exploração de vulnerabilidades assumiu o primeiro lugar entre os métodos de invasão de empresas. Ultrapassou o phishing e o roubo de senhas. O fluxo de novas vulnerabilidades quase dobrou: quase 50 mil CVEs por ano, mais de 130 por dia. O principal banco de dados mundial, NVD, no qual todos se basearam por décadas, quase desmoronou. O FSTEC emitiu a ordem nº 117 e, pela primeira vez, estabeleceu prazos rigorosos: a vulnerabilidade crítica deve ser fechada em 24 horas. Multas por vazamento de dados tornaram-se baseadas em faturamento. E a inteligência artificial aprendeu a encontrar vulnerabilidades mais rápido que os humanos. E agora é uma arma nas mãos de ambos os lados.

Relêr o texto antigo com "18 mil CVEs em 2020" e referências à ordem 17, há muito cancelada, tornou-se francamente constrangedor. Por isso, não ajustei alguns parágrafos apenas para dar uma aparência. Verifiquei cada fato em fontes primárias, reescrevi os capítulos com linguagem viva e adicionei o que antes não havia.

O que está dentro O livro é estruturado como uma jornada. Começo do início, com a pergunta "quem precisa de mim, não vão me hackear" (spoiler: você precisa do bot que simplesmente tenta todas as portas). Em seguida, em ordem: o que são vulnerabilidades, como funciona o processo, como escanear, como priorizar e como negociar com TI. Esta última, a propósito, é uma dor separada, à qual o livro dedica mais espaço do que parece à primeira vista. Também abordamos a especificidade russa: leis, ordens, BDU, substituição de importações.

Cada capítulo pode ser lido separadamente. No final, um breve "o que aprendemos" e algumas perguntas para pensar.

Honestamente sobre o formato e os exemplos Os capítulos saem no Habr em sequência, e essa é uma escolha consciente. O Habr é implacável com enrolação, marketing e textos escritos por "redes neurais para cumprir tabela". Não há melhor filtro de qualidade na internet russa. Se eu escrever bobagem em algum lugar, serei informado nos comentários, e ainda com provas. Isso é bom. Discutam, corrijam, compartilhem suas experiências. A série só ganhará com isso, o formato permite levar em conta seu feedback ao longo do caminho.

E aviso logo, para que depois não haja perguntas constrangedoras. Nos exemplos, você certamente encontrará produtos da Positive Technologies, na maioria das vezes o MaxPatrol VM. A razão é simples: trabalho mais de perto com eles, e mostrar a prática com o que se conhece por dentro é mais honesto do que com o que nunca se segurou por tempo suficiente. Mas isso não é publicidade. Eu escrevo honestamente sobre open source, sobre concorrentes, sobre plataformas ocidentais (que saíram) e sobre padrões mundiais. Os princípios de gerenciamento de vulnerabilidades não dependem do fornecedor, e o livro é sobre eles. Ferramentas são secundárias. A cabeça é mais importante.

E mais. Eu me esforcei muito para que o texto não soasse como um manual ou um relatório corporativo. Com analogias: casa, ladrão, iceberg. Com exemplos práticos: uma vulnerabilidade no perímetro com 11 anos de idade, um caso real, não uma invenção. Às vezes com ironia. O tema é sério, mas isso não é motivo para escrever de forma que o leitor adormeça no segundo parágrafo.

P.S. Usei IA? Claro! Mas agora não haverá apenas texto, mas também belas imagens, espero a compreensão.

Por onde começar Se você está do zero, leia em ordem, os capítulos vão do simples ao complexo. Se você já está no assunto e veio buscar especificidade, vá direto para o que precisa: priorização, EASM, métricas. Se você é um gestor e está pensando em onde investir, as primeiras capítulos e o capítulo sobre maturidade serão suficientes.

Gerenciamento de vulnerabilidades não é um projeto único nem um botão mágico de "tornar seguro". É uma jornada que você percorre constantemente, porque tanto as ameaças quanto as tecnologias não param. Mas a jornada é totalmente percorrível. Mesmo para os mais novos. Vamos percorrê-la juntos.

Vamos lá.

Navegação pela série: ⬅️ (este é o começo) · 📑 Índice da série · Próximo: Cap. 0. "Quem precisa de mim, não vão me hackear" ➡️

A série será lançada aproximadamente um capítulo por semana. Assine para não perder. E enquanto isso, conte nos comentários: você veio para o assunto do zero ou já está construindo VM e quer uma nova perspectiva? Isso me ajudará a entender onde focar.

Hubs: Segurança da Informação, Infraestrutura de TI · Complexidade: Simples Tags: vulnerabilidades vm patch it processos segurança scanner de vulnerabilidades FSTEC substituição de importações IB Hubs: Infraestrutura de TI Segurança da Informação 0 2 0 0 Karma HACKERMAN @Hima_Hahahai HackerMan do filme Kung Fury Assinar O fluxo de Segurança da Informação está disponível 24/7 graças ao apoio dos amigos do Habr Cursos Habr para todos PUBLICIDADE Praticum, Hexlet, SkyPro, cursos de autores — reunimos todos e pedimos descontos. Resta escolher! Ir Ir para o fluxo de Segurança da Informação Comentar Melhores do dia Semelhantes Mostrar melhores de todos os tempos