• /
  • EnglishEspañolFrançais日本語한국어Português
  • EntrarComeçar agora

Esta tradução de máquina é fornecida para sua comodidade.

Caso haja alguma divergência entre a versão em inglês e a traduzida, a versão em inglês prevalece. Acesse esta página para mais informações.

Criar um problema

Nível 3 - Regra de scorecard de gerenciamento de vulnerabilidades do serviço

O gerenciamento proativo de vulnerabilidades é essencial para manter sistemas de software seguros e resilientes. Esta regra do scorecard mede a postura de segurança da sua organização rastreando a porcentagem de entidades APM com vulnerabilidades detectadas, permitindo que você identifique, priorize e corrija sistematicamente os riscos de segurança antes que eles se tornem incidentes.

Por que o gerenciamento de vulnerabilidades é importante

Mitigação de riscos: a detecção e a correção precoces de vulnerabilidades evitam violações de segurança, perda de dados e interrupções de serviço que podem impactar significativamente seus negócios.

Requisitos de conformidade: Muitas estruturas regulatórias exigem práticas sistemáticas de Gerenciamento de vulnerabilidades, tornando esta regra do scorecard essencial para demonstração de conformidade.

Evitar custos: O gerenciamento proativo de vulnerabilidades é significativamente mais barato do que responder a incidentes de segurança, violações ou violações de conformidade.

confiança dos clientes: práticas de segurança demonstráveis geram confiança dos clientes e protegem a reputação da sua organização em um mercado cada vez mais preocupado com a segurança.

Segurança da cadeia de suprimentos: os aplicativos modernos contam com inúmeras bibliotecas e dependências de terceiros, tornando a varredura sistemática de vulnerabilidades crítica para a compreensão completa de sua superfície de risco.

Como funciona esta regra

Esta regra avalia a porcentagem da sua entidade APM que detectou vulnerabilidades usando New Relic Security. A medição fornece insights sobre sua postura geral de segurança e ajuda a priorizar esforços de correção de segurança.

Critérios de sucesso: Porcentagens mais baixas de entidades com vulnerabilidades indicam melhor higiene de segurança e processos de gerenciamento de vulnerabilidades mais eficazes. O objetivo é minimizar a porcentagem de entidades vulneráveis por meio de detecção e remediação sistemáticas.

Definição de regra

Esta regra do scorecard mede a eficácia da segurança avaliando a presença de vulnerabilidades em seu portfólio de aplicativos.

Critérios de medição

métrica avaliada: Porcentagem de entidade APM com vulnerabilidades detectadas Fonte de dados: New Relic Security varredura de vulnerabilidades e detecção Destino de sucesso: Minimizar a porcentagem de entidade com vulnerabilidades não resolvidas Escopo da avaliação: Todas as entidades APM dentro do seu ambiente de monitoramento

Compreendendo a detecção de vulnerabilidades

O que a New Relic Security identifica:

  • Vulnerabilidades conhecidas no aplicativo dependência e biblioteca
  • Problemas de segurança em pacotes e estruturas de terceiros
  • Exposições e vulnerabilidades comuns (CVE)) banco de dados corresponde
  • Riscos de segurança da cadeia de suprimentos de componentes de código aberto

processo de avaliação de vulnerabilidades:

  • Verificação contínua de componentes de aplicativos e dependências
  • Identificação em tempo real de vulnerabilidades recém-descobertas
  • Pontuação de gravidade e priorização de risco com base em padrões da indústria (CVSS)
  • integração com feeds de inteligência de ameaças para informações de risco atualizadas

A abordagem do nível de maestria

Cultura de segurança proativa: No Nível 3, a organização muda de respostas de segurança reativas para gerenciamento proativo de vulnerabilidades integrado aos fluxos de trabalho de desenvolvimento.

Gerenciamento de risco sistemático: Este nível enfatiza o monitoramento contínuo, a detecção automatizada e a priorização de esforços de remediação de segurança.

Alinhamento de riscos comerciais: as decisões de segurança são tomadas com base na avaliação de impacto comercial, equilibrando as melhorias de segurança com a eficiência operacional e a velocidade de desenvolvimento.

Capacidade organizacional: Organizações de nível de maestria estabeleceram processos, ferramentas e padrões de colaboração de equipe que permitem o Gerenciamento de vulnerabilidades sustentável em escala.

Estratégias de gerenciamento de vulnerabilidades

Quando seu scorecard mostra entidades com vulnerabilidades, essas estratégias ajudarão você a estabelecer práticas de segurança abrangentes:

1. Estabelecer processos de avaliação de vulnerabilidades

Descoberta e inventário de vulnerabilidades:

  • Configure varredura de vulnerabilidades abrangente em todas as entidades APM
  • Estabeleça cronogramas regulares de varredura que estejam alinhados com seus ciclos de desenvolvimento e implantação
  • Crie sistemas centralizados de inventário e rastreamento de vulnerabilidades
  • Implementar descoberta automatizada de novos componentes de dependência e de terceiros

Avaliação e priorização de riscos:

  • Desenvolver critérios de pontuação de vulnerabilidades que considerem pontuações CVSS, explorabilidade e impacto nos negócios
  • Crie matrizes de prioridade que equilibrem o risco de segurança com a criticidade do negócio
  • Estabelecer procedimentos claros de escalonamento para vulnerabilidades críticas e de alta gravidade
  • Implementar processos de aceitação de risco para vulnerabilidades de baixa prioridade que não podem ser corrigidas imediatamente

2. Construir um fluxo de trabalho de remediação eficaz

Colaboração entre equipes:

  • Estabelecer programas de defesa de segurança dentro das equipes de desenvolvimento
  • Crie canais de comunicação claros entre as equipes de segurança, desenvolvimento e operações
  • Implementar reuniões regulares de revisão de segurança e relatórios de status de vulnerabilidades
  • Desenvolver modelos de responsabilidade compartilhada para correção de vulnerabilidades

Planejamento e execução de remediação:

  • Crie procedimentos de remediação padronizados para diferentes tipos de vulnerabilidades
  • Estabeleça cronogramas e SLA para correção de vulnerabilidades com base nos níveis de gravidade
  • Implementar procedimentos de teste para garantir que a correção não introduza novos problemas
  • Desenvolver planos de reversão para atividades de remediação que causam problemas

gestão de dependência:

  • Implementar verificação automatizada de dependências no pipeline de CI/CD
  • Estabelecer políticas para aprovação de novas dependências e bibliotecas de terceiros
  • Criar procedimentos para avaliar e atualizar a dependência existente
  • Implementar o rastreamento da lista de materiais do software (SBOM) para visibilidade da cadeia de suprimentos

3. Integre a segurança aos fluxos de trabalho de desenvolvimento

práticas de segurança shift-left:

  • Integre varredura de vulnerabilidades em ambientes de desenvolvimento e plug-in IDE
  • Implementar ganchos de pré-confirmação que verificam dependências vulneráveis conhecidas
  • Fornecer treinamento para desenvolvedores sobre práticas de codificação seguras e conscientização sobre vulnerabilidades
  • Crie procedimentos de teste de segurança que sejam executados junto com os testes funcionais

pipeline de integração CI/CD :

  • Adicionar portas de varredura de vulnerabilidades aos pipelines de implantação
  • Implementar bloqueio automatizado de implantação com vulnerabilidades críticas
  • Criar processos de isenção para implantação urgente com aceitação de risco documentada
  • Estabelecer sistemas de notificação automatizados para vulnerabilidades recém-descobertas

Métricas e relatórios de segurança:

  • Implementar painel que monitore o progresso da correção de vulnerabilidades
  • Crie relatórios de segurança regulares para as partes interessadas executivas e técnicas
  • Estabelecer métricas para medir a melhoria da segurança ao longo do tempo
  • Use dados de vulnerabilidades para informar decisões de investimento em segurança e alocação de recursos

4. Práticas avançadas de gerenciamento de vulnerabilidades

Integração de inteligência de ameaças:

  • Integrar feeds de inteligência de ameaças externas com dados de vulnerabilidades
  • Implementar avaliação de risco contextual com base no cenário de ameaças atual
  • Crie sistemas de alerta para vulnerabilidades que estão sendo exploradas ativamente
  • Estabelecer procedimentos para resposta de emergência a vulnerabilidades de dia zero

Automação e orquestração:

  • Implementar correção automatizada de vulnerabilidades para soluções bem compreendidas e de baixo risco
  • Crie testes e validações automatizados para patches de segurança
  • Estabelecer procedimentos automatizados de reversão para tentativas de correção com falha
  • Use ferramentas de orquestração para coordenar atualizações de segurança complexas e multisserviços

Melhoria contínua:

  • Realizar avaliações regulares de segurança e testes de penetração
  • Implementar processos de lições aprendidas para incidentes de segurança e esforços de remediação
  • Estabelecer métricas para medir a eficácia dos processos de Gerenciamento de vulnerabilidades
  • Criar ciclo de feedback entre gerenciamento de vulnerabilidades e práticas de desenvolvimento

Orientação de implementação

Configurando gerenciamento abrangente de vulnerabilidades

  1. Configurar New Relic Security com políticas de varredura apropriadas e cobertura em todas as entidades APM
  2. Estabelecer medições baseline do cenário de vulnerabilidades atuais e capacidade de remediação
  3. Crie fluxo de trabalho de gerenciamento de vulnerabilidades que se integre aos processos de desenvolvimento e operações existentes
  4. Implementar sistemas de rastreamento e relatórios para monitorar o progresso e comunicar o status às partes interessadas

Construindo capacidade organizacional

Estrutura e funções da equipe:

  • Defina funções e responsabilidades claras para gerenciamento de vulnerabilidades entre equipes
  • Estabelecer redes de campeões de segurança dentro das equipes de desenvolvimento
  • Crie procedimentos de escalonamento para vulnerabilidades críticas e incidentes de segurança
  • Implementar programas de treinamento multifuncionais para conscientização sobre segurança

Padronização de processos:

  • Desenvolver procedimentos padronizados para avaliação de vulnerabilidades, priorização e remediação
  • Crie modelos e listas de verificação para atividades comuns de correção de vulnerabilidades
  • Estabelecer procedimentos de gerenciamento de mudanças para atualizações relacionadas à segurança
  • Implementar padrões de documentação para decisões de segurança e aceitação de riscos

Integração de ferramentas:

  • Integrar ferramentas de gerenciamento de vulnerabilidades com fluxos de trabalho de desenvolvimento existentes
  • Estabelecer fonte única da verdade para dados de vulnerabilidades e status de remediação
  • Crie sistemas automatizados de relatórios e notificações
  • Implementar integração entre ferramentas de segurança e sistemas de gerenciamento de projetos

Medindo o sucesso e a melhoria contínua

principais indicadores de desempenho:

  • Hora de detectar vulnerabilidades recém-descobertas
  • Tempo médio de remediação para diferentes níveis de gravidade de vulnerabilidades
  • Percentual de entidades com vulnerabilidades não resolvidas ao longo do tempo
  • Número de incidentes de segurança relacionados a vulnerabilidades não corrigidas

Avaliação e melhoria regulares:

  • Conduzir avaliações trimestrais da eficácia do Gerenciamento de vulnerabilidades
  • Implementar a coleta de feedback das equipes de desenvolvimento sobre os processos de segurança
  • Atualizar regularmente os procedimentos com base em novas ameaças e lições aprendidas
  • Estabeleça benchmarking em relação aos padrões da indústria e práticas recomendadas

Considerações importantes

Priorização baseada em risco: nem todas as vulnerabilidades exigem correção imediata. Desenvolva uma estrutura de avaliação de risco que considere a gravidade das vulnerabilidades, a criticidade dos ativos, a explorabilidade e o impacto nos negócios para tomar decisões de priorização informadas.

Gerenciamento de falso positivo: scanners de vulnerabilidades podem gerar falso positivo. Estabeleça processos para validar vulnerabilidades e gerenciar a precisão do scanner para evitar desperdício de recursos em riscos inexistentes.

Equilíbrio de continuidade de negócios: as melhorias de segurança devem ser equilibradas com as operações de negócios e a velocidade de desenvolvimento. Estabeleça políticas claras para quando as preocupações com a segurança prevalecem sobre as considerações operacionais e vice-versa.

Complexidade de gerenciamento de dependência: Os aplicativos modernos possuem árvores de dependência complexas. Considere o impacto total das atualizações de dependência, incluindo possíveis alterações significativas e problemas de compatibilidade.

Requisitos de conformidade: diferentes setores têm requisitos de Gerenciamento de vulnerabilidades variados. Garanta que seus processos atendam aos padrões regulatórios e de conformidade aplicáveis à sua organização.

Desafios e soluções comuns

Restrições de recursos: Aborde implementando priorização baseada em risco, automação de tarefas rotineiras e integração com o fluxo de trabalho existente para maximizar a eficiência.

Coordenação entre equipes: resolva por meio de definição clara de funções, comunicação regular, ferramentas e painel compartilhados e estabelecimento de campeões de segurança dentro das equipes de desenvolvimento.

excesso de alertas: Gerencie implementando filtragem inteligente, algoritmos de priorização e correção automática para vulnerabilidades de baixo risco.

Dívida técnica: resolva incorporando melhorias de segurança em ciclos regulares de manutenção e iniciativas de redução de dívida técnica.

Próximos passos

Após implementar esta regra do scorecard:

  1. Completar a frameworkde Excelência em Engenharia garantindo que as regras de Utilização de CPU, Utilização de memória e Monitoramento de Alterações sejam implementadas
  2. Explorar práticas de segurança complementares por meio da otimização do monitoramento de erros para identificar erros relacionados à segurança
  3. Implemente o monitoramento avançado de segurança explorando recursos adicionais do New Relic Security para detecção abrangente de ameaças
  4. Considerar a frameworkmais ampla de maturidade da observabilidade para melhoria holística em todos os domínios da observabilidade
Copyright © 2025 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.