Wed. May 18th, 2022

O que é avaliação de vulnerabilidade
Uma avaliação de vulnerabilidade é uma revisão sistemática das fraquezas de segurança em um sistema de informação. Ele avalia se o sistema é suscetível a quaisquer vulnerabilidades conhecidas, atribui níveis de gravidade a essas vulnerabilidades e recomenda correção ou mitigação, se e sempre que necessário.

Exemplos de ameaças que podem ser evitadas pela avaliação de vulnerabilidades incluem:

  1. Injeção de SQL, XSS e outros ataques de injeção de código.
  2. Escalação de privilégios devido a mecanismos de autenticação defeituosos.
  3. Padrões inseguros – software que vem com configurações inseguras, como senhas de administrador que podem ser adivinhadas.

Existem vários tipos de avaliações de vulnerabilidade. Esses incluem:

  • Avaliação de host – A avaliação de servidores críticos, que podem ser vulneráveis ​​a ataques se não forem testados adequadamente ou não forem gerados a partir de uma imagem de máquina testada.
  • Avaliação de rede e sem fio – A avaliação de políticas e práticas para impedir o acesso não autorizado a redes públicas ou privadas e recursos acessíveis à rede.
  • Avaliação de banco de dados – A avaliação de bancos de dados ou sistemas de big data para vulnerabilidades e configurações incorretas, identificando bancos de dados não autorizados ou ambientes de desenvolvimento/teste inseguros e classificando dados confidenciais na infraestrutura de uma organização.
  • Varreduras de aplicativos – A identificação de vulnerabilidades de segurança em aplicativos da Web e seu código-fonte por varreduras automatizadas no front-end ou análise estática/dinâmica do código-fonte.
  • Avaliação de vulnerabilidade: processo de verificação de segurança

O processo de verificação de segurança consiste em quatro etapas: teste, análise, avaliação e correção.

O processo de avaliação de vulnerabilidade: análise, avaliação de risco, remediação

  1. Identificação de vulnerabilidade (teste)
    O objetivo desta etapa é elaborar uma lista abrangente das vulnerabilidades de um aplicativo. Os analistas de segurança testam a integridade da segurança de aplicativos, servidores ou outros sistemas verificando-os com ferramentas automatizadas ou testando-os e avaliando-os manualmente. Os analistas também contam com bancos de dados de vulnerabilidades, anúncios de vulnerabilidades de fornecedores, sistemas de gerenciamento de ativos e feeds de inteligência de ameaças para identificar pontos fracos de segurança.
  2. Análise de vulnerabilidade
    O objetivo desta etapa é identificar a origem e a causa raiz das vulnerabilidades identificadas na etapa um.

Envolve a identificação dos componentes do sistema responsáveis ​​por cada vulnerabilidade e a causa raiz da vulnerabilidade. Por exemplo, a causa raiz de uma vulnerabilidade pode ser uma versão antiga de uma biblioteca de código aberto. Isso fornece um caminho claro para correção – atualizar a biblioteca.

  1. Avaliação de risco
    O objetivo desta etapa é a priorização de vulnerabilidades. Envolve analistas de segurança atribuindo uma classificação ou pontuação de gravidade a cada vulnerabilidade, com base em fatores como:
  • Quais sistemas são afetados.
  • Quais dados estão em risco.
  • Quais funções de negócios estão em risco.
  • Facilidade de ataque ou compromisso.
  • Gravidade de um ataque.
  • Danos potenciais como resultado da vulnerabilidade.
  1. Remediação
    O objetivo desta etapa é o fechamento de lacunas de segurança. Normalmente, é um esforço conjunto da equipe de segurança, das equipes de desenvolvimento e operações, que determinam o caminho mais eficaz para a correção ou mitigação de cada vulnerabilidade.

As etapas de correção específicas podem incluir:

Introdução de novos procedimentos, medidas ou ferramentas de segurança.
A atualização de alterações operacionais ou de configuração.
Desenvolvimento e implementação de um patch de vulnerabilidade.
A avaliação de vulnerabilidade não pode ser uma atividade única. Para serem eficazes, as organizações devem operacionalizar esse processo e repeti-lo em intervalos regulares. Também é fundamental fomentar a cooperação entre as equipes de segurança, operação e desenvolvimento – um processo conhecido como DevSecOps.

Ferramentas de avaliação de vulnerabilidade
As ferramentas de avaliação de vulnerabilidades são projetadas para verificar automaticamente ameaças novas e existentes que podem ter como alvo seu aplicativo. Os tipos de ferramentas incluem:

  • Scanners de aplicativos da Web que testam e simulam padrões de ataque conhecidos.
  • Scanners de protocolo que procuram protocolos, portas e serviços de rede vulneráveis.
  • Scanners de rede que ajudam a visualizar redes e descobrir sinais de alerta como endereços IP perdidos, pacotes falsificados e geração de pacotes suspeitos a partir de um único endereço IP.


É uma prática recomendada agendar verificações regulares e automatizadas de todos os sistemas críticos de TI. Os resultados dessas verificações devem alimentar o processo contínuo de avaliação de vulnerabilidades da organização.

Gostaria de saber mais e o que podemos fazer para a sua empresa? Fale conosco!

Leave a Reply

Your email address will not be published. Required fields are marked *