Gestão de Vulnerabilidades: conheça (e corrija) as falhas do seu sistema

[Música] Olá a todos sejam bem-vindos ao mais um protiv cast o podcast da protiv nessa série A gente vai falar um pouquinho sobre cybers segurança Esse é o terceiro episódio já que a gente tá fazendo a gente falou no primeiro sobre Fishing depois a gente falou sobre Pain Test e aqui a gente vai falar sobre gestão de vulnerabilidades meu nome é Rodrigo Castro eu sou diretor executivo de parcerias e inovação e a gente sempre traz nos nossos podcasts pessoas de renome do mercado de vários lados do balcão pra gente fazer um bate-papo aqui eh principalmente

para ter esse entendimento amplo eh dos dos conceitos de cybersegurança nessa questão de gestão de vulnerabilidades eh eu trago aqui algumas pessoas na mesa que daqui a pouco eles vão fazer a a as suas próprias introduções mas antes disso eh pra gente não perder o ritmo também dos outros capítulos aqui episódios eu sempre começo com uma reflexão né lá no podcast de Fishing eu fiz uma reflexão sobre empresas e organizações que criam estruturas de segurança sistemas de segurança mas eventualmente um C um funcionário ele tem um crachá e ele vai almoçar e deixa um crachá

na mesa e todo aquele sistema de segurança física por exemplo cai por terra porque um crachá por exemplo é roubado e a pessoa consegue acessar Essa é analogia que a gente fez eh D dentro dos aspectos de Fishing e a analogia que a gente faz aqui em gestão de vulnerabilidades é justamente os sistemas de segurança você tem que garantir que não haja vulnerabilidades nesses sistemas de segurança porque Caso haja eventualmente um Fishing esse Fishing não seja explorado eh por uma vulnerabilidade de segurança gestão de vulnerabilidades é sobre isso é a gente conseguir proteger a organização

e as vulnerabilidades que são identificadas essa é uma primeira mas a gente vai aprofundar esse tema aqui com essas três potências aqui de cybersegurança que a gente tem hoje O Adenilson o Marco e o Lucas e eu peço que vocês se apresentem começando pelo Marco bom Olá para todo mundo aí que tá que tá nos assistindo meu nome é Marco sou gerente de infraestrutura sou responsável por segurança também na mitsui e vim para para trazer um pouquinho de de história para contar e alguma as coisas aí que já vimos aí dentro do do mercado relacionado

à gestão de vulnerabilidades boa Marco Olá pessoal tudo bem sou o Lucas sou tanos pós vendas da da quales Brasil e vim aqui também trazendo um pouquinho aí da visão do fabricante aí pra gente bater um papo aí Legal boa Olá a todos eu sou Adenilson sou responsável pelos serviços gerenciados da proativ e esse é um tema que nós tratamos no dia a dia né então muito bom que tá aqui para falar sobre esse assunto muito muito bom então aqui a gente tem um responsável por soque de múltiplas empresas né múltiplos clientes a gente tem

um responsável de software né que cuida de gestão de vulnerabilidades executa gestão de vulnerabilidades e a gente tem uma empresa aqui que né Precisa da gestão de vulnerabilidades de fato para executar e e a gente começa também falando o seguinte né quer dizer pós pandemia 2020 a gente tem teve aquela aquela questão do trabalho remoto que ampliou para caramba né E aí as pessoas começaram a pegar seus computadores levarem para suas respectivas casas e aí num ambiente corporativo no escritório tudo é mais tranquilo porque você tem lá um ambiente de rede controlado você tem eh

todos todos os sistemas de segurança muito bem controlados mas quando as pessoas levam os computadores paraas suas casas você já perde aquele controle de qual rede Ela Tá acessando se aquela rede é segura se é compartilhada se eventualmente tem algum dispositivo vulnerável que possa tá explorando aquela rede né E aí a gente começa a falar de gerenciar as vulnerabilidades nesses dispositivos da organização e aí a primeira coisa que eu queria aprofundar aqui é falar o seguinte o que que é né pro pro pro LEGO o objetivo aqui também nesse podcast é ser mais didático nesses

assuntos e e entender o seguinte Adenilson que que é afinal de contas gestão de vulnerabilidades em ti certo bom antes de falar de gestão a gente precisa entender o que é uma vulnerabilidade então uma vulnerabilidade é uma falha uma deficiência de qualquer componente dentro da tecnologia da informação tá né então eh seu relógio por exemplo seu relógio ele tem um software né então o seu relógio ele pode ter uma vulnerabilidade né então Eh um outro componente né a pessoa né o o Us usuário né usuário lá do computador do notebook ele também pode ter uma

vulnerabilidade ele também é uma vulnerabilidade em todo esse circuito e obviamente eh tudo aquilo que a gente utiliza por exemplo sistema operacional né ele tem uma vulnerabilidade ali que se não for corrigida Se não entrar no programa de gestão de vulnerabilidade ele pode ser um vetor de ataque e sendo um vetor de ataque ele pode trazer risco ali para dentro da companhia então a a vulnerabilidade ela tem que ser tratada com muita seriedade porque é algo muito crítico para as empresas e e as pessoas estão inseridas nesse programa então a gente precisa tratar lá desde

a parte tecnológica o processo o processo também tem vulnerabilidade um processo ali que ele não foi eh de fato eh olhado por todos os responsáveis pode também ter uma vulnerabilidade então pessoas processos e tecnologia legal então quando a gente fala de você falou um pouco do relógio eventualmente celular eh computador qualquer coisa ali pode eh ter vulnerabilidades né E aí você falou também essa questão de atualização do software quer dizer isso já começa a aproximar a gestão de vulnerabilidades eh para nós ries pessoas Mortais né quer dizer a gente vê lá eh eventualmente o o

o o sistema pedindo uma atualização de sol software pedindo uma atualização do Windows pedindo atualização do próprio sistema operacional do do do do do celular isso é eventualmente a própria desenvolvedora do do do do sistema corrigindo vulnerabilidades é isso sim eh normalmente todo toda empresa que faz ali um desenvolvimento ela precisa est ali no programa dela a correção né o ajuste daquilo que ela desenvolveu Então os fornecedores eles têm ali uma uma data específica né Por exemplo citar a Microsoft ela tem ali uma terça-feira do mês que ela disponibiliza as vulnerabilidades né daqueles determinados softwares

né então e um exemplo a Microsoft mas outras também possuem ali todo um programa e e e e isso tem que tá incorporado no dia a dia das pessoas né mais do que das empresas tem que estar incorporado no dia a dia das pessoas né porque lá o departamento de ti vai lá disponibilizar a a atualização e a pessoa que tá ali na ponta precisa colaborar Legal muito bom bom aí também eu queria entender o seguinte né Por que as empresas fazem a gestão de vulnerabilidades aí Lucas acho que é legal você aí muito inserido

eh na qualis entendendo a qualis também faz as pesquisas para ter o entendimento aí do cenário de gestão de vulnerabilidades cara qual que é a importância Por que que as empresas fazem elas realizam a gestão de vulnerabilidades na verdade tá muito atrelado ao que vocês muito bem falaram sobre risco né no fim do dia a vulnerabilidade é uma brecha de segurança pode se tornar um risco e o risco esse pode ser o mais básico de todos ou até um risco mais grave que pode ter uma perca de confidencialidade uma um ocasionar um problema de imagem

pra companhia então a a gestão de vulnerabilidade hoje como a gente fala ela deixa de ser aquela gestão de vulnerabilidade estática que a gente olha para mar de vulnerabilidade a gente passa a olhar muito para risco no fim do dia né então eu diria que a principal importância justamente a gente saber murar esses riscos que a gente tem na companhia através de todos os dispositivos que a gente tem e como vocês mencionaram pessoas porque a gente no fim do dia a gente tá falando de ti aqui mas pessoas são ativo importante Nossa infraestrutura do nosso

os times de segurança Tem que olhar e elas que apertam o botãozinho para atualiz exatamente principalmente num cenário que a gente tem Home Office né Um cenário de de trabalho que as pessoas estão vindo para casa a trabalhar Estão levando informação para casa então a gente tem que ter esse cuidado com vulnerabilidade e entender de fato ali e o que que a gente tá tratando ou não até se falou um pouquinho de dados ali eh um dado de 2023 nós tivemos quase 30.000 vulnerabilidades publicadas em 2023 tá dessas 30.000 1/4 25% foram desenvolvidos métodos de

exploração no mesmo dia quer dizer ela nasceu já sendo passível de exploração isso quer dizer que a gente tava falando do seu Apple watch por exemplo né Você tem um Apple watch ali e aí hoje saiu uma vulnerabilidade para ele hoje mesmo já tem alguém em algum lugar do mundo que consegue entrar no seu Apple watch fazer alguma coisa então isso é muito crítico a gente precisa olhar para isso com mais cuidado de fato sabe Bom vamos lá então coisas interessantes aqui que você falou né Eh bom entendo que essas 30.000 vulnerabilidades todas as empresas

estão suscetíveis grande médio pequeno porte pessoas físicas também pessoas físicas inclusive né quer dizer eu com meu celular ou com meu com meu relógio aqui eu posso estar sucetível a uma vulnerabilidade alguém explorando pegando informação minha etc e tal ex e e e você falou quer dizer na na identificação da vulnerabilidade eventualmente ela é uma uma vulnerabilidade que ela é identificada mas ninguém ainda criou uma um método para explorá-la exato E aí a partir do momento em que se cria um método para explorá-la ela fica mais crítica ainda porque imagina só eu tenho uma brecha

de segurança eu tenho ali uma janela aberta na minha casa mas ninguém ainda consegue entrar na minha casa de fato a partir do momento que eu falo a janela está aberto e alguém consegue entrar na minha casa aí eu tenho um problema maior alguém desenvolver um jeito de entrar na minha casa e aí que o problema começa a ficar um pouco mais aía o cara põe uma porta coloca uma chave comum aí eventualmente ele fala assim cara o chaveiro lá consegue abrir essa chave pronto Ele criou um método de exploração colocar uma tetra chave perito

pô aí vai um outro chaveiro e desenvolve uma um método de exploração da tetra chave e assim por diante né fazendo ess an e isso a gente começa a entender risco né porque a gente fala Putz eh eu tenho essa chave na minha porta qual o risco de alguém entrar eu tenho alguma coisa al dessa minha casa não tenho e a gente começa a gerenciar risco também com base vulnerabilidade é por isso é tão important a gente fazer gestão de viabilidade no fim do dia seja no dia a dia ou numa empresa bom então quer

dizer o que a gente tá vendo aqui a gente já entende o que que é a a vulnerabilidade o porquê e a gente entende também que isso é importante para qualquer empresa pessoa física é é uma coisa muito que a gente falou no primeiro episódio de Fishing né quer dizer o Fishing é importante pra pessoa jurídica Mas pra pessoa física também todo mundo é suscetível né então a gente entende que gestão de vulnerabilidades também eh acho que entendo eu por exemplo com computador pessoa física se a Microsoft pede para atualizar o meu computador eu tenho

que atualizar porque senão vou est sucetível né leg exatamente não só por questão de segurança mas de performance também né você não atualiza ali seu computador di semanalmente como você comentou por exemplo ele vai degradando se a performance Ali vai ficando mais lento com passar do tempo também então eu acho que eu acho que além da da questão de de dos computadores até na vida pessoal você tem hoje praticamente sua casa inteira conectada hoje você tem geladeira conectada você tem Smart TV Você tem uma Alexa você você tem lâmpadas inteligentes Então você tem um monte

de componentes de ti na sua casa até mais muitas vezes que que que na empresa né na empresa Geralmente as pessoas se limitam ao ao seu computador e ao seu smartphone lá is você tem muita coisa para atualizar isso é muito importante cara e é interessante isso que você falou porque por exemplo eu na minha casa às vezes a gente tem dispositivos que a gente nem sabe que podem estar suscetíveis a vulnerabilidades né primeira delas o o Óbvio a TV né hoje a gente tem lá as Smart TVs de tempos em tempos de fato a

minha TV fica pedindo atualização né de software ali e eventualmente se eh forem criados métodos de exploração que que pode acontecer pode um hacker pode entrar pela TV e acessar eventualmente minha rede acessar his de busca na televisão por exemplo é o próprio acionamento por voz né hoje você tem a Alexa muitas vezes você tá assistindo uma TV e alguém fala o Alexa se a sua Alexa não tá dramada para atender só o seu padrão de voz a sua Alexa vai ligar e o pedido que for feito fora disso ele vai ser atendido muitas vezes

então se você tem um cartão cadastrado na Amazon hoje e você tem uma Alexa na sua casa você pode ter uma vulnerabilidade de alguém conseguir fazer uma compra através da sua Alexa por comando de voz nós por aqui inclusive conseguiríamos fazer isso se a gente tiver Alexa nos assistindo a gente conseguiria ativar agora conseguiria ativar agora compre mande entregar na ex e existem mitigações para isso você consegue fazer com que a Alexa atenda só o seu padrão de voz ex muita gente não faz a maioria não faz a maioria não faz não faz e acho

que só para complementar também né A o programa de gestão de vulnerabilidade ele ele tem objetivo de impedir que uma exploração daquela vulnerabilidade ocorra né porque o seu relógio né dando um outro exemplo se relógio já tem informações confidenciais muitas né então se até cartão de crédito conversas no WhatsApp conversas no teams né Tem muita coisa aqui é um dispositivo de IOT hoje né tá tudo ali né sua saúde né sua performance tu faz alguma atividade física são informações suas e se aquela vulnerabilidade for explorada vai tá na mãos de outra pessoa que não deveria

ter aí a gente volta né pro pra integridade né que eh o programa de eh gestão de vulnerabilidade Visa ali garantir também integridade né daquele ativo Legal boa Marco e aí é o seguinte e você aí e dentro da mitsui né e olhando gestão de vulnerabilidades né geralmente o o o o colaborador que tá na ponta da mesa ali com seu e computador às vezes ele acha que o problema não é dele né então assim vamos lá gestão de vulnerabilidade é problema de quem cara dentro de uma organização cara hoje esse problema ele é de

todo colaborador a partir do momento que você colocou pé dentro de uma companhia você tá responsável de alguma forma em contribuir na gestão de vulnerabilidades seja aplicando atualizações Desde da pessoa que desenvolve algum sistema mudar algumas linhas de código Desde da pessoa que tá com o notebook na mesa reiniciar a máquina né E aí é uma coisa que nós como profissionais de ti tocamos muito nesse ponto né e grande parte dos seus problemas e existem muitas piadas com isso é quando você liga no Service a primeira coisa que o atendente do Service des te pergunta

é você reiniciou a sua máquina além dos problemas que você consegue prevenir ajuda na parte de atualização né muitas vezes tem alguma atualização que tá pendente de aplicação e quando você reiniciar a máquina ela vai ser efetivamente aplicada então você não precisa reiniciar a máquina todo dia mas que você faça isso toda sexta-feira então caiu a caneta não vai mais trabalhar coloca a máquina para inar você vai perder 20 30 minutinhos que seja reiniciando a máquina aplicando atualizações mas talvez você não seja pego de calças curtas aí quando você tiver uma reunião importante e a

sua máquina atualizar ou reiniciar sozinha então acho que isso é muito importante mas a colaboração ela é de todos né seja desde do do do menor analista até o se levels da empresa todo mundo tem que est bem engajado né isso é uma coisa que dentro da mitsui a gente trabalha muito eh a gente trabalha tanto no âmbito profissional e agora a gente tá iniciando uma uma frente relacionada ao âmbito pessoal então a gente vai começar a orientar as pessoas a cuidar do seus itens e dos seus bens de IOT pessoais porque a gente entende

que isso reflete no comportamento dela dentro da companhia então se ela tá cuidando das credenciais dela das contas pessoais Instagram rede social qualquer uma contas de banco celular a gente entende que dentro da companhia ela vai refletir o mesmo comportamento cara isso é bem bem legal porque no final das contas você coloca aquela cultura no dia a dia dela né E precisa e precisa muitas vezes o que a gente tava vendo até algum tempo atrás er as pessoas muito preocupadas com a segurança do dispositivo corporativo mas muitas vezes ela não ela não entende ou não

tem a compreensão que aquilo se aplica também ao dispositivo pessoal a vida pessoal dela muitas vezes a pessoa tem no Smartphone cara banco muitas contas contas de investimento Eu já vi muita coisa acontecer em dispositivos pessoais o a pessoa era super cuidadosa na empresa mas acabou tendo um deslize na na no dispositivo pessoal e perdeu dinheiro ou teve a credencial roubada de alguma coisa ou teve uma Compra efetuada que não era ela enfim isso tem que ser isso tem que ficar muito claro para todo mundo fora questão psicológica né porque é é um é um

padrão de comportamento que tem ess repetir o colaborador ele não tem na vida pessoal dele cuidado algum com nenhuma credencial com nada como ele tá na empresa né isso aí legal bom e e a reflexão que você colocou aqui eh no seu na sua na sua resposta aqui também eh amiguinhos vocês aí que querem ajudar o pessoal do Cyber segurança proteger a sua organização também rebem os seus computadores no mínimo uma vez por semana tá porque nesse reboot provavelmente algumas atualizações de software ali vão ser instaladas e isso vai resolver alguns problemas de vulnerabilidade então

se você quiser o bem da sua empresa dos seus amiguinhos de cy segurança façam isso tá a galera de suporte de segurança agradece Legal muito bom E aí pessoal e a gente tá falando muito da gestão de vulnerabilidades das vulnerabilidades mas um dos pontos que a gente estava conversando nos Bastidores aqui né É por onde começar gestão de vulnerabilidades n organizações né E aí você trouxeram uma questão muito interessante sobre o inventário de ativos para começar esse inventário de ativos né eh e aí e eh Marco eu queria entender com você o seguinte cara começar

pelo começo né primeira coisa é inventário de ativos é entender o seu espaço o que que você tem inventar de ativos é é saber o que você tem dentro da rede e fora da rede também hoje com na verdade desde da pandemia né a gente descentralizou os ativos de ti a gente não tem mais as as coisas como a denil falou dentro do escritório no ambiente controlado Então você tem que entender tudo o que você tem isso não isso não contabiliza apenas servidores notebooks smartphones isso contabiliza qualquer coisa que esteja conectada à sua rede impressora

ouja tá e ou seja e o ativo não é só físico Então não é só computador impressora servidor não são sistemas também sistemas bancos de dados a a a a gestão de vulnerabilidades ela ela tem que olhar para tudo que você tem dentro do na sua rede para tudo que você tem dentro da da da companhia então bancos de dados sistemas Quais sistemas estão virados Apenas para quem tá dentro da da companhia ou conectado através de uma VPN na companhia Quais sistemas estão virados para para fora né pro pro ambiente externo hoje a gente tem

dentro numa Companhia de Seguros sistemas que estão voltados pro corretor Então esse sistema ele tá virado para fora eu não consigo garantir por exemplo que todo corretor vai ter uma VPN vai se conectar através de uma maneira segura eu tenho que garantir que esse sistema estejam dentro do inventário para que a gente consiga através da gestão de vulnerabilidades ver o que a gente tem que corrigir ou o que a gente tem que aplicar de correção em cada componente desses daí tá tá legal E aí o Mateus que tá aqui nos Bastidores aqui né uma coisa

que ele falou bastante interessante aí Mateus é nosso diretor de cybersegurança para quem não conhece os outros podcasts ele tava junto com a gente aqui na mesa eh ele falou o seguinte né um caso que eventualmente ele fala com com com a empresa Tá bom você quer fazer a gestão de vulnerabilidades do quê né E aí a a o o responsável da empresa Fala de tudo el fala cara mas primeiro eu preciso saber o que é tudo né e o inventário de ativos acho que é isso né quer dizer primeiro eu preciso monitorar e entender

que é tudo e às vezes a empresa nem sabe o que que é tudo né e o Adenilson falou da outra vez aqui que às vezes tudo é nada né porque porque porque você quer fazer tudo Só que tudo às vezes é num tamanho gigante né E aí fala um pouquinho bom eu eu diria até para complementar que a gestão de vulnerabilidade a gente precisa fazer gestão daquilo que não deve tá também porque um driver de impressora que porventura não deveria est ali no computador ele pode ter uma vulnerabilidade pode ser explorado e eh pode

afetar todo o ambiente corporativo então Eh o Marco comentou né então é tudo ativo então precisa ter ali uma lista de softwares homologados e no detalhe né uma impressora que de repente foi instalado e foi desinstalado foi de fato retirado todo o software dali que pode ter vulnerabilidade Esse é um ponto bastante interessante também e que a gente pega no dia a dia né Tá legal bom e aí você entra numa Seara que você falou dos dos softwares homologados né aí a gente entra naquela Seara do Shadow it né da da da da do ha

na sombra né para quem não conhece ess esse essa nomenclatura o Shadow it basicamente é você utilizar sistemas ou aplicações dentro do seu eh computador que eles não estão homologados eh pela organização então eventualmente você instala ali eh um pd um convert Word to PDF por exemplo ou PDF to Word e aí você baixa um aplicativo ali instala no seu computador mas isso não tá homologado pela estrutura de TI da sua organização e este esse software que você instalou aí na sua máquina ele sim pode ter uma vulnerabilidade né E aí ela pode ser explorada

né Adenilson Sem dúvida Sem dúvida então é e faz parte do programa o programa de gestão de vulnerabilidade eh como o reinício toda sexta-feira do mês nós temos reuniões religiosamente num determinada data do mês Onde ali a gente vai debater aquilo que aconteceu no mês anterior e o que que a gente vai debater vai debater o inventário né temos ali um ambiente de produtivo temos um ambiente de homologação temos estações de trabalho temos eh endereço IP né então tudo que tem endereço IP tem que tá lá no programa de gestão de vulnerabilidade porque pode ter

uma vulnerabilidade boa Legal e e e e e novamente é um programa que precisa ser insistente né Eh precisa ser pontual insistente e recorrente né recorrente preferência de preferência com apoio da lá de cima da cadeia então top Down Então isso é o exemplo que tem que vir lá do diretor a gente das historinhas para contar né Nós temos através do do soc um monitoramento de quem acessa a VPN fora do horário por exemplo e a gente pegou um acesso de um se level fora do horário a o a o alerta que vai pro C

level é o mesmo Alerta que vai para um analista e que vai para qualquer pessoa da companhia e a resposta tem que ser a mesma né O O ele tem que justificar o por que ele fez e nesse caso ele justificou e ainda agradeceu falou que legal que vocês estão olhando né E E isso tem que vi por exemplo Cultura né né Por cultura isso tem que ser colocado na empresa por cultura isso cara isso é fundamental né Essa questão da cultura independente do crachá independente do peso do crachá é fundamental porque aí mostra o

comprometimento dos executivos com a proteção da segurança da organização né exato É foi e foi um ponto que eu vi até que vocês comentaram muito no episódio de de Fishing aqui né e cultura é primordial se você não tem Cultura em qualquer processo não só de segurança mas de infraestrutura a gente não consegue chegar em lugar algum você precisa que a que os colaboradores tenham conscientização da importância desse processo e do Por que a gente executa esse processo o que que pode ocasionar esse processo por isso cultura acho que é é primordial de fato cer

é É verdade Lucas Às vezes a gente tá ali trabalhando com o computador né e de repente você tem um rebo forçado do computador a gente fala Putz cara que saco né cara tava no meio de uma apresentação aqui ou eventualmente no meio de um de um de um de uma reunião no teams enfim e a gente precisa rebotar aquilo lá entendendo que se eventualmente houve uma demanda daquilo é porque aquele rebute é importante para atualizar questões importantes né ex e falando um pouco dessa ância né Vamos lá a gente começou entendendo a gestão de

vulnerabilidades o que que é Por que que é como começar por inventário de ti mas aí a organização vai lá começa a fazer a gestão de vulnerabilidades faz o inventário descobre um monte de ativo né E aí ela tem que fazer eh eh eventualmente fazer a primeira varredura das vulnerabilidades E aí ela descobre um monte ali né E aí como que ela como que ela prioriza como que ela faz num primeiro momento como que ela atua É nisso Marco me conta aí como que você prioriza as vulnerabilidades é esse é um número que assusta bastante

então Principalmente quando você roda uma primeira um primeiro Scan na rede no nosso caso já já tínhamos já isso acontecendo H algum tempo mas foi um processo que acabou ficando um pouco parado por conta de mudanças na Corporação mas o primeiro primeiro Scan que eu tive acesso ele tinha 12.000 vulnerabilidades cara quando você olha um número desse suo assusta PR nós que somos de ti talvez não assuste tanto porque a gente tá acostumado com número versus a quantidade de ativos então a gente consegue chegar num num num padrão assim que a gente fala cara OK

agora quando você leva isso para outras pessoas que não são de ti o número assusta muito né a nossa frente ela ela iniciou dando dando foco no número então a gente falou olha vamos olhar essa quantidade que a gente tem a gente tem uma meta na verdade a gente colocou uma meta de 50% né então a gente trabalhou tratar 50 tratar 50% das vulnerabilidades independente da criticidade então a gente nesse primeiro momento a gente ignorou criticidade E aí mais uma vez não existem as boas práticas mas não existe um um meio certo ou um meio

errado né a pior forma e é o que a gente viu na prática é não fazer nada certeza que isso só vai crescer eh então a gente trabalhou muito forte em diminuir 50% a gente conseguiu diminuir em uma questão de 8 meses mais ou menos E aí quando virou o ano né Eh a gente começou o foco em qualitativo então agora a gente olha a criticidade né pegamos As mais altas dentre as mais altas quais têm maior facilidade de aplicação no ambiente né e geralmente quando você trata vulnerabilidades altas Elas têm uma complexidade maior de

implantação muitas vezes elas envolvem sistemas então ter que envolver pessoal de desenvolvimento ter que mudar código E aí as coisas versionamento e as coisas começam a andar um pouco mais devagar né quando a gente tava lá no foco de 50% cara a gente achou uma vulnerabilidade que a gente consegue aplicar uma Police uma política que aplica em todas as workstation resolve 500 vulnerabilidades é muito fácil agora quando você começa a tratar no detalhe uma vulnerabilidade alta do sistema específico que você precisa ajustar É muita gente envolvida isso entra em fila de desenvolvimento muitas vezes são

filas concorrentes com processos que tem que ser desenvolvidos para negócio então a gente tem que começar a negociar com as equipes de sistemas e eu não tenho tanto problema com isso hoje e a gente até tava brincando nos Bastidores que hoje eu consigo encaixar demandas de correção dentro da fila de desenvolvimento e elas conseguem muitas vezes até ser priorizadas e eu consigo entregar isso rápido né E aí a gente faz um rescan vê que foi corrigido e mitiga a vulnerabilidade mas hoje a gente tá focado em qualidade né seja ou seja o ponto que você

tá colocando nesse nesse cenário é né a gente falou muito das eh eventualmente uma Microsoft uma Apple mandando atualizações mas existem desenvolvimentos proprietários nas empresas fácil parte mais fácil aplicar aplicar um pet aplicar uma atualização seja num celular seja num notebook até num servidor é algo muito mais fácil do que você corrigir uma aplicação ou alguma coisa relacionada a essa aplicação então que seja uma troca de certificado ou uma troca de como esse certificado é lido isso é um pouco mais complexo E aí envolve a aplicação envolve o funcionamento e muitas vezes são coisas que

impactam no negócio então você tem que fazer com um olhar clínico muito maior porque você pode parar a operação tentando corrigir alguma coisa né você tem que ser muito crítico e cirúrgico é ambiente de teste a todo momento a gente faz homologação a todo momento antes de colocar isso PR produção legal que que daí são as as diferenças né então vocês citaram essa questão da criticidade então quando a gente fala por exemplo de computadores na mão dos funcionários dos colaboradores eh meio que tá entregue de bandeja né eu achei a vulnerabilidade e está aqui o

pet de correção da vulnerabilidade você clica ali atualiza tá tudo certo mas espera aí você tem os servidores da empresa que eventualmente se você aplicar um pet de correção e o servidor sair fora do ar você para a organização inteira não é a mesma forma de corrigir né Lucas quer dizer eu tenho e como que se corrige por exemplo uma vulnerabilidade num servidor é como como o marco disse assim não existe uma regra né uma receita de bolo para todas as companhias ao redor do mundo né mas o que a gente vê por padrão é

você vai ter uma abordagem muito mais faseada então Diferentemente de uma estação de trabalho que você vai fazer um Deploy aí você Vai disponibilizar a correção para todo mundo de uma vez e aí fica critério do usuário decidir quando vai reiniciar ali Esperamos que semanalmente mas nem sempre e para servidor a gente aborda uma coisa mais de fase Então comece em ambiente de q que aquele ambiente de teste aquele ambiente que o impacto é menor deu tudo certo espera alguns dias vamos para desenvolvimento deu tudo certo mais alguns dias homologação E aí sim produção algumas

empresas tem até pré-produção no meio então o cara ele vai aplicar em em desenvolvimento em homologação pré-produção e só dali em diante aplicar em produção Ou seja você vai aplicando o pet de correção antes daquele servidor que está operando ali para ver se aquilo lá vai dar um problema em um cenário ali de ensaio né E aí eu faço aquela aplicação num cenário de ensaio Poxa ó eu eu eu eu tô com um servidor aqui espelho do que tá operando ali na ponta eu vou aplicar o Pet Olha aqui não deu problema nenhum aí eu

vou lá e aplico isso no no Serv gente roda basicamente todas as operações que rodam num ambiente de produção um ambiente que roda o negócio em si então ah é um sistema um exemplo de segurador é um sistema de cotação de seguros a gente vai rodar diversas cotações e entender se nada foi impactado por essa correção que foi aplicada antes de virar isso pro pro ambiente produtivo prod e por isso é tão importante essa réplica né a gente tem um ambiente replicado em teste e homologação desenvolvimento que seja semelhante à produção O que a gente

vê às vezes um processo problemático que produção é um ambiente x e você tem homologação sendo ambiente Y que não tem nada a ver com produção ah você não tá de fato testando o cenário real você tá testando banana com maçã né e o certo é testar banana e banana Então esse é é um é um tema que a gente também tem que ter esse cuidado e a questão também do tempo então como a gente disse né você tá saindo exploração de viabilidade todo dia toda hora tem gente trabalhando nisso tem atacante voltado para isso

eu também não posso demorar 2 3 meses para aplicar no nos meus servidores porque senão Estou extremamente descoberto e totalmente vulnerável né esses casos ali então o tempo é um fator importante no final ou seja se fori quer eventualmente você identifica uma vulnerabilidade num servidor e foi identificado um exploit para aquilo né um método de exploração ex você tem que acelerar aquele processo de geralmente a gente para esteira fala para tudo que a gente tá fazendo vamos entra o risco vamos aplicar o que precisa ser aplicado para corrigir depois a gente volta a operação normal

dade zero né Por ISO isso entra isso passa fora de GM isso geralmente é hotfix isso isso pula várias etapas de um processo convencional para uma correção efetiva ráp Fix cara gem é gestão de mudança então Toda Toda mudança que eu vou fazer no ambiente geralmente isso se aplica muito para servidor tá eh eu passo por todo um processo de desenvolvimento dessa dessa correção ou dessa dessa mudança existe uma reunião onde entram pessoas de infraestrutura sistemas de negócio onde é feita uma pré-aprovação para depois isso ser aplicado nação é uma mudança planejada com aprovações governança

legal o hotfix é para tudo e vamos corrigir existe uma reunião existe uma conversa mas isso é muito mais dinâmico geralmente quando eu tenho uma uma uma uma gestão de mudança eu tenho calendários que elas acontecem quando eu tenho hotfix é quando acontece então eu tenho uma correção Public exploit aconteceu agora dem galera vamos parar tudo vamos aplicar a correção agora depois a gente volta a operação normal lck for J talvez éum exemplo n um temp um tempo atrás ali relevante ass é o é o o conceito do zero Day isso sim né Eh que

e e e por isso que é importante o programa de gestão de vulnerabilidade porque eu tenho ali um inventário eu sei quais as máquinas Quais os sistemas eu tenho então quando vem um zero Day que é quando nem mesmo o fornecedor conhece aquela vulnerabilidade tá quando então quando esse quando esse fato ocorre nós já temos o controle da operação sabemos Quais são as máquinas afetadas fazemos atualização de forma mais rápida basta uma conversa ali entre os responsáveis né de todas as áreas para fazer aquela aplicação o zero Day é aquele é aquela vulnerabilidade que ela

pode ser explorada imediatamente é isso sim exato que não tem um hot Fix n uma correção disponibilizada naquele momento muitas vezes é uma medida de tem uma medida de mitigação você fala Olha se você bloquear a porta x ou se você bloquear o rlx você vai mitigar esse item provisoriamente até que saia uma correção oficial é meio que assim eu tenho uma porta lá o chaveiro descobriu como abrir cara eu não tenho como trocar fechadura agora vou colocar uma outra coloca um cadeado PR mitigar o proble resolver a troc depois eventualmente eu chamo final mas

você tá travando de alguma forma o problema Contorno agora tudo isso que vocês estão falando e você só consegue fazer se efetivamente você tiveram um método para identificar inventário do ativo e identificação das vulnerabilidades tempestivamente E por incrível que pareça parece que tem organizações que não fazem isso hoje né quer dizer faz tudo na mão inventário de ativo na mão eh como como que é isso Lucas me fala a diferença aí de uma de um modelo manual de gestão de vulnerabilidades que eu acho que deve ser cara eh Difícil num planilha em Excel né e

a diferença de você fazer isso de forma automatizada é você tem ali empresas ainda que infelizmente não fazem a correta gestão de ativo e aí o cara acaba fazendo uma gestão em planilha né ele coloca todo mundo vai conversando edita planilha que muitas vezes nem é compartilhada ali cada um coloca um pouco de cada ativo quando você vai ver tem um pequeno monstrinho né não tem ainda de fato inventário a gente não sabe porta não sabe software Instalado não sabe versão do sistema operacional sabe que tem a estação de trabalho do Lucas ali e ponto

acabou né No Mundo Ideal né o State of Art que a gente chama que é o estado ideal da tecnologia você tem que ter não só só um agente rodando nesses caras né Então você vai ter um agente rodando numa numa estação de trabalho no servidor como você também pode ter rans via ples que é uma máquina virtual posicionada na sua rede ali que vai fazer o mapeamento completo então Ó o Marco ele tem estação de trabalho que tá no sistema operacional Windows 10 que tá na geolocalização Brasil São Paulo que tem ali determinada unidade

de negócio e você começa a ter um inventário conciso que contribui pro seu processo de gestão de viabilidade e não só para isso para qualquer processo de segurança até o processo de G Mud mesmo né de governança se beneficia de um inventar tá agora Como que como que você consegue fazer uma gestão de vulnerabilidades manual tá bom você falou do inventário de ativos Beleza você coloca numa planilha de excel então o que você me colocou como uma grande diferença é o seguinte tem algumas organizações que fazem isso de forma manual colocando os ativos numa planilha

de excel super difícil porque arcaico né até um outro momento onde você coloca agentes que ficam escutando ali a sua rede para falar o seguinte cara pelo pelo que eu tô escutando aqui você t tant servidores você tem tantos IPS você tem tantas máquinas conectadas E aí isso é online On Time né Beleza inventário de ativos e a gestão de vulnerabilidades manual cara como que o cara faz Você clicou no ponto acho que é o mais importante o one time o Live ali então no método de agente vai ter o tempo inteiro a vulnerabilidade sendo

apontada cara validei agora que esse Apple watch tá vulnerável daqui 4 horas eu vou checar de novo te falar se tá vulnerável ou não num sistema manual não tenho isso então eu checo agora vou checar daqui qu C dias e preciso que alguém atualize a minha planilha para ver se tá atualizado checo D ali 10 dias de novo então você tem uma bagunça de checagem você não sabe de fato Onde tá a vulnerabilidade e se você está vulnerável qu pessoas que você precisa para fazer isso ex Na verdade o cara no fim das contas ele

acaba fazendo uma gestão de pet ele não faz uma gestão efetiva de vulnerabilidade ex só apca né e faz mensalmente lá ele fala olha eu apliquei Pet em todos os servidores e todas as workstation dou um ok na planilha e sabe não tem uma inteligente e e Essa gestão de pet também paraas pessoas que não sabem é quando você forçosamente vai lá aplica uma atualização na ponta né você aplica uma correção na ponta então tem algumas organizações que ao invés de fazer a gestão de vulnerabilidades ela faz o que a gente chama de Patch Management

quer dizer ela vai lá e fica aplicando os pats de atualização para falar e e não sabe a criticidade da vulnerabilidade se aquilo é crítico ou se não é exato não tem uma inteligência no processo e o Marcos tou um ponto interessante que é a questão de recurso operacional Hoje os time de segurança cada vez menos a gente não tem times infinitos de segurança eu tenho clientes meus ali que tem a gente tá falando de ordem de milhões de como é que eu aplico como é que eu acho gente para olhar para uma planilha para

corrigir 5 milhões deidades não tem como fazer isso eu preciso de processo inteligência e aí vem isso que o Marcos tá falando e aí um ponto que a gente tá entrando aqui também nessa questão da quantidade de vulnerabilidades e a gente fala de vulnerabilidade vulnerabilidade o Marcos citou aqui que no começo ele fez por quantidade de vulnerabilidades mas em determinado momento Você precisa olhar a criticidade disso pra operação né quer dizer eu tenho um recurso limit um tempo limitado para resolver aparecem as vulnerabilidades eu preciso priorizar de alguma forma Adenilson Como que como que as

empresas Elas podem fazer essa priorização porque acho que no começo Marco falou né de repente No começo é mato alto né então eu preciso lá resolver eh eh as vulnerabilidades numericamente reduzir 50% Mas vai chegar num determinado momento que você vai começar a falar tá bom resolvi grande parte do problema mas agora preciso priorizar como eh o ideal é sempre a parte técnica tá alinhada com o negócio então o ideal é você fazer análise de impacto do negócio tá bom né ver o que vai trazer mais eh problemas caso aquela vulnerabilidade não for corrigida e

eh fazer a aplicação né mas eh obviamente precisamos verificar Quais são qual é a severidade daquela vulnerabilidade eh se aquela vulnerabilidade tem ali um Public exploit né se aquela vulnerabilidade já é é explorada por qualquer um na na internet né então facilmente você encontra como explorar uma determinada vulnerabilidade Esse é o indicador que a gente tem que olhar Tá bom então você tem num primeiro momento até as vulnerabilidades se eu não me engano tem uma uma métrica acho que cvss não é isso é que que é o cvss é o é um Framework é ele

Analisa de fato ali forma estática né O que é crítico alto Médio baixo e leva alguns fatores em consideração para mape mas ele não olha isso do ponto de vista da própria organização ele olha isso do ponto de vista da vulnerabilidade perc ele fala pô já tem um exploit público ali criado etc e tal exato mas aí o que você tá falando Adenilson que eventual quando você fala quer dizer aplicar eh conectar o técnico ao negócio você falou de uma questão interessante que é o análise do impacto ao negócio que a gente chama de Bia

né exato que eventualmente eu falar o seguinte tá bom eh eu vou aplicar um pet eu vou corrigir uma vulnerabilidade de um servidor que tá desligado Tá fora de conexão ou o meu servidor que hospeda o SAP Uhum exatamenteo Então quando você conecta entendo a questão técnica ao negócio o o análise de impacto ao negócio você pega todos esses ativos de ti e aí você faz uma análise de impacto né entendo eu de risco de risco de impacto ao negócio quer dizer o servidor que tá hospedando o SAP é mais importante do que o servidor

inoperante é uma uma vulnerabilidade alta pro mercado ela pode não ser uma vulnerabilidade alta pro negócio se você tem um servidor desligado se você tem um servidor que não tá virado para nenhum lugar público ou que tá isolado na rede existe um monte de de de de brincadeiras que a gente faz para chegar no que é realmente crítico para aplicar eventualmente um servidor que pedo o Marketplace sim sim sim não e até olhando no contexto de segurança assim é uma vulnerabilidade média por exemplo mas que envolve um software que eu tenho instalado no meu parque

né nas minhas estações de trabalho e que tá totalmente ali atrelada ao meu Parque Pode ser que pode ser que ele vire alto sua companhia pode ser queal e o business Impact analises ele fala muito isso né quer dizer ele fala o seguinte eh você entrevista as pessoas que que estão de frente ao negócio né E fala o seguinte Quais os sistemas que você usa né S qu sistemas que você usa quanto tempo que você pode ficar sem esses sistemas para rodar seu as suas atividades e qual que seria o impacto caso esse sistema caísse

até pra gente ver o tempo de recuperação né e vamos lá e todas essas informações elas constam lá no inventário né então o inventário é o quê você tem lá as informações endereço IP ou hostname qual é a função daquele Servidor ou daquele ativo localização né a localização R lá dentro responsável Quem é o responsável né Eh e até a gente levando lá pra questão de risco né qual Impacto que aquele servidor traz pra companhia então tudo isso tá lá no inventário Então esse é o programa orora que eu olhar aquele ativo eu vou saber

né quem é o responsável e se eu não aplicar aquela vulnerabilidade ou se eu aplicar sem uma gud o que vai que pode acontecer né uma indisponibilidade se de repente aquela atualização não fori bem sucedida então e eh imagina parar o e-commerce de um grande varegista né pois examente então tá tudo lá no inventário legal legal muito bom bom então eh eh eu vejo que tem essa questão da criticidade e tem uma outra criticidade que é eventualmente você também tagar o os ativos né eventualmente você fala o seguinte Olha você tem um computador que é

do diretor você tem outro outro computador que é do analista você tem um servidor aqui que é o operante né produção servidor de produção servidor de desenvolvimento um sistema ali né cor do negócio ali nesse servidor os sistemas fazem isso Lucas geralmente esse tagueamento aí sim a a gente consegue fazer toda a parte de tagueamento e colocar cara esse esse servidor ele é de produção ele é de desenvolvimento se tem algum software da da empresa da companhia rodando nele se não tem e começar olhar softwares homologados tinha citado antes então se tem softwares homologado se

não tem o que que eu faço se não tiver se tem algum software que precisa de review a gente também consegue fazer isso toda a parte ali de de qual a unidade de negócio então a gente tem você vai ter muitas vezes empresas que tem um um uma sede no Brasil mas também são internacionais você também consegue mapear a localização dela fqdn hostname a parte de tagueamento assim é infinito a gente consegue fazer de AZ tudo que a gente precisar para tagar qual velan ele tá qual rede ele tá ali na na na sua infraestrutura

Então isso é bem bem diverso Quanto isso e algo que se faz bastante é relacionar lá com a estrutura que você tem lá na organização de domínio perfeito sim para você não ter que fazer ali manual tipos customizados né exatamente você relaciona com os grupos da sua organização Essa vai ser a tag exato né para isso também fazer parte lá do time da infraestrutura né porque a que no fim é quem vai ser Executor de todas essas correções que a gente tá falando grande parte né ex e e é muito importante essa parte de tagueamento

porque a gente tava falando de pet um pouco mais cedo que que é o fim do processo de gestão de vulnerabilidade né aplicação do Pet e o petch muitas vezes Depende de um correto tagueamento para você saber onde você tem que aplicar seu Pet aonde eu tenho que olhar né Para eu não ter que olhar pro inventário porque eu vou ter uma lista de inventário com milhares de ativos mas eu quero filtrar porque eu preciso porque tem um software que eu preciso porque tem a vulnerabilidade que eu tô olhando faço o tagueamento e uso isso

também para um correto ciclo de vida de gestão de pet então tag é bem importante se um novo servidor por exemplo surgiu na companhia ele já vai lá para um grupo servidores de produção exato e automaticamente ele já vai est sendo tagado como servidor produtivo legal exatamente Não preciso e na ferramenta Man Exatamente porque como foi falado são milhares de servidores algumas companhias possuem e por mais que você tome todos os cuidados de colocar o servidor no ar com todas as correções possíveis Com certeza na hora que você coloca ele para ser monitorado ele vai

apontar alguma coisa e você vai ter que já começar a corrigir coisas que às vezes o olho humano ou olho técnico né não vê na hora de colocar o servidor de produção e e que a gente tá falando de um de uma gestão de vulnerabilidade madura sim sim sim né que todo mundo deveria ter né vulnerabil o estado da arte mas precisa ter minimamente inventário de ativos é uma uma avaliação online On Time daquelas vulnerabilidades né isso eu acho que manualmente É é quase impossível você fazer gestão de vulnerabilidade é que nem a gente falou

vai fazer um um Patch Management máo no máximo aleatório né agora gestão de vulnerabilidades de forma manual sem algum sistema para te auxiliar Acho bem difícil aente humanamente impossível é muita coisa para olhar né Legal pessoal a gente tá chegando ao final aqui quase estourando nosso tempo né Aline também nos Bastidores ali eh agradeço muito o tempo e a disponibilidade de vocês Eh caso vocês queiram saber um pouco mais sobre gestão de vulnerabilidades a gente tem o ebook da protiv desenvolvido ali com todas as etapas de gestão de vulnerabilidades e melhores práticas paraa execução da

gestão de vulnerabilidades na sua organização o link vai tá na descrição e é isso pessoal agradeço aí a sua eh você como espectador aqui no nosso podcast Espero que você tenha gostado e vamos em frente [Música] [Aplausos]