O gerenciamento proativo de vulnerabilidades é essencial para manter sistemas de software seguros e resilientes. Esta regra do scorecard mede a postura de segurança da sua organização rastreando a porcentagem de entidades APM com vulnerabilidades detectadas, permitindo que você identifique, priorize e corrija sistematicamente os riscos de segurança antes que eles se tornem incidentes.

Por que o gerenciamento de vulnerabilidades é importante

Mitigação de riscos: a detecção e a correção precoces de vulnerabilidades evitam violações de segurança, perda de dados e interrupções de serviço que podem impactar significativamente seus negócios.

Requisitos de conformidade: Muitas estruturas regulatórias exigem práticas sistemáticas de Gerenciamento de vulnerabilidades, tornando esta regra do scorecard essencial para demonstração de conformidade.

Evitar custos: O gerenciamento proativo de vulnerabilidades é significativamente mais barato do que responder a incidentes de segurança, violações ou violações de conformidade.

confiança dos clientes: práticas de segurança demonstráveis geram confiança dos clientes e protegem a reputação da sua organização em um mercado cada vez mais preocupado com a segurança.

Segurança da cadeia de suprimentos: os aplicativos modernos contam com inúmeras bibliotecas e dependências de terceiros, tornando a varredura sistemática de vulnerabilidades crítica para a compreensão completa de sua superfície de risco.

Como funciona esta regra

Esta regra avalia a porcentagem da sua entidade APM que detectou vulnerabilidades usando New Relic Security. A medição fornece insights sobre sua postura geral de segurança e ajuda a priorizar esforços de correção de segurança.

Critérios de sucesso: Porcentagens mais baixas de entidades com vulnerabilidades indicam melhor higiene de segurança e processos de gerenciamento de vulnerabilidades mais eficazes. O objetivo é minimizar a porcentagem de entidades vulneráveis por meio de detecção e remediação sistemáticas.

Definição de regra

Esta regra do scorecard mede a eficácia da segurança avaliando a presença de vulnerabilidades em seu portfólio de aplicativos.

Critérios de medição

métrica avaliada: Porcentagem de entidade APM com vulnerabilidades detectadas Fonte de dados: New Relic Security varredura de vulnerabilidades e detecção Destino de sucesso: Minimizar a porcentagem de entidade com vulnerabilidades não resolvidas Escopo da avaliação: Todas as entidades APM dentro do seu ambiente de monitoramento

Compreendendo a detecção de vulnerabilidades

O que a New Relic Security identifica:

• Vulnerabilidades conhecidas no aplicativo dependência e biblioteca
• Problemas de segurança em pacotes e estruturas de terceiros
• Exposições e vulnerabilidades comuns (CVE)) banco de dados corresponde
• Riscos de segurança da cadeia de suprimentos de componentes de código aberto

processo de avaliação de vulnerabilidades:

• Verificação contínua de componentes de aplicativos e dependências
• Identificação em tempo real de vulnerabilidades recém-descobertas
• Pontuação de gravidade e priorização de risco com base em padrões da indústria (CVSS)
• integração com feeds de inteligência de ameaças para informações de risco atualizadas

A abordagem do nível de maestria

Cultura de segurança proativa: No Nível 3, a organização muda de respostas de segurança reativas para gerenciamento proativo de vulnerabilidades integrado aos fluxos de trabalho de desenvolvimento.

Gerenciamento de risco sistemático: Este nível enfatiza o monitoramento contínuo, a detecção automatizada e a priorização de esforços de remediação de segurança.

Alinhamento de riscos comerciais: as decisões de segurança são tomadas com base na avaliação de impacto comercial, equilibrando as melhorias de segurança com a eficiência operacional e a velocidade de desenvolvimento.

Capacidade organizacional: Organizações de nível de maestria estabeleceram processos, ferramentas e padrões de colaboração de equipe que permitem o Gerenciamento de vulnerabilidades sustentável em escala.

Estratégias de gerenciamento de vulnerabilidades

Quando seu scorecard mostra entidades com vulnerabilidades, essas estratégias ajudarão você a estabelecer práticas de segurança abrangentes:

1. Estabelecer processos de avaliação de vulnerabilidades

Descoberta e inventário de vulnerabilidades:

• Configure varredura de vulnerabilidades abrangente em todas as entidades APM
• Estabeleça cronogramas regulares de varredura que estejam alinhados com seus ciclos de desenvolvimento e implantação
• Crie sistemas centralizados de inventário e rastreamento de vulnerabilidades
• Implementar descoberta automatizada de novos componentes de dependência e de terceiros

Avaliação e priorização de riscos:

• Desenvolver critérios de pontuação de vulnerabilidades que considerem pontuações CVSS, explorabilidade e impacto nos negócios
• Crie matrizes de prioridade que equilibrem o risco de segurança com a criticidade do negócio
• Estabelecer procedimentos claros de escalonamento para vulnerabilidades críticas e de alta gravidade
• Implementar processos de aceitação de risco para vulnerabilidades de baixa prioridade que não podem ser corrigidas imediatamente

2. Construir um fluxo de trabalho de remediação eficaz

Colaboração entre equipes:

• Estabelecer programas de defesa de segurança dentro das equipes de desenvolvimento
• Crie canais de comunicação claros entre as equipes de segurança, desenvolvimento e operações
• Implementar reuniões regulares de revisão de segurança e relatórios de status de vulnerabilidades
• Desenvolver modelos de responsabilidade compartilhada para correção de vulnerabilidades

Planejamento e execução de remediação:

• Crie procedimentos de remediação padronizados para diferentes tipos de vulnerabilidades
• Estabeleça cronogramas e SLA para correção de vulnerabilidades com base nos níveis de gravidade
• Implementar procedimentos de teste para garantir que a correção não introduza novos problemas
• Desenvolver planos de reversão para atividades de remediação que causam problemas

gestão de dependência:

• Implementar verificação automatizada de dependências no pipeline de CI/CD
• Estabelecer políticas para aprovação de novas dependências e bibliotecas de terceiros
• Criar procedimentos para avaliar e atualizar a dependência existente
• Implementar o rastreamento da lista de materiais do software (SBOM) para visibilidade da cadeia de suprimentos

3. Integre a segurança aos fluxos de trabalho de desenvolvimento

práticas de segurança shift-left:

• Integre varredura de vulnerabilidades em ambientes de desenvolvimento e plug-in IDE
• Implementar ganchos de pré-confirmação que verificam dependências vulneráveis conhecidas
• Fornecer treinamento para desenvolvedores sobre práticas de codificação seguras e conscientização sobre vulnerabilidades
• Crie procedimentos de teste de segurança que sejam executados junto com os testes funcionais

pipeline de integração CI/CD :

• Adicionar portas de varredura de vulnerabilidades aos pipelines de implantação
• Implementar bloqueio automatizado de implantação com vulnerabilidades críticas
• Criar processos de isenção para implantação urgente com aceitação de risco documentada
• Estabelecer sistemas de notificação automatizados para vulnerabilidades recém-descobertas

Métricas e relatórios de segurança:

• Implementar painel que monitore o progresso da correção de vulnerabilidades
• Crie relatórios de segurança regulares para as partes interessadas executivas e técnicas
• Estabelecer métricas para medir a melhoria da segurança ao longo do tempo
• Use dados de vulnerabilidades para informar decisões de investimento em segurança e alocação de recursos

4. Práticas avançadas de gerenciamento de vulnerabilidades

Integração de inteligência de ameaças:

• Integrar feeds de inteligência de ameaças externas com dados de vulnerabilidades
• Implementar avaliação de risco contextual com base no cenário de ameaças atual
• Crie sistemas de alerta para vulnerabilidades que estão sendo exploradas ativamente
• Estabelecer procedimentos para resposta de emergência a vulnerabilidades de dia zero

Automação e orquestração:

• Implementar correção automatizada de vulnerabilidades para soluções bem compreendidas e de baixo risco
• Crie testes e validações automatizados para patches de segurança
• Estabelecer procedimentos automatizados de reversão para tentativas de correção com falha
• Use ferramentas de orquestração para coordenar atualizações de segurança complexas e multisserviços

Melhoria contínua:

• Realizar avaliações regulares de segurança e testes de penetração
• Implementar processos de lições aprendidas para incidentes de segurança e esforços de remediação
• Estabelecer métricas para medir a eficácia dos processos de Gerenciamento de vulnerabilidades
• Criar ciclo de feedback entre gerenciamento de vulnerabilidades e práticas de desenvolvimento

Orientação de implementação

Configurando gerenciamento abrangente de vulnerabilidades

1. Configurar New Relic Security com políticas de varredura apropriadas e cobertura em todas as entidades APM
2. Estabelecer medições baseline do cenário de vulnerabilidades atuais e capacidade de remediação
3. Crie fluxo de trabalho de gerenciamento de vulnerabilidades que se integre aos processos de desenvolvimento e operações existentes
4. Implementar sistemas de rastreamento e relatórios para monitorar o progresso e comunicar o status às partes interessadas

Construindo capacidade organizacional

Estrutura e funções da equipe:

• Defina funções e responsabilidades claras para gerenciamento de vulnerabilidades entre equipes
• Estabelecer redes de campeões de segurança dentro das equipes de desenvolvimento
• Crie procedimentos de escalonamento para vulnerabilidades críticas e incidentes de segurança
• Implementar programas de treinamento multifuncionais para conscientização sobre segurança

Padronização de processos:

• Desenvolver procedimentos padronizados para avaliação de vulnerabilidades, priorização e remediação
• Crie modelos e listas de verificação para atividades comuns de correção de vulnerabilidades
• Estabelecer procedimentos de gerenciamento de mudanças para atualizações relacionadas à segurança
• Implementar padrões de documentação para decisões de segurança e aceitação de riscos

Integração de ferramentas:

• Integrar ferramentas de gerenciamento de vulnerabilidades com fluxos de trabalho de desenvolvimento existentes
• Estabelecer fonte única da verdade para dados de vulnerabilidades e status de remediação
• Crie sistemas automatizados de relatórios e notificações
• Implementar integração entre ferramentas de segurança e sistemas de gerenciamento de projetos

Medindo o sucesso e a melhoria contínua

principais indicadores de desempenho:

• Hora de detectar vulnerabilidades recém-descobertas
• Tempo médio de remediação para diferentes níveis de gravidade de vulnerabilidades
• Percentual de entidades com vulnerabilidades não resolvidas ao longo do tempo
• Número de incidentes de segurança relacionados a vulnerabilidades não corrigidas

Avaliação e melhoria regulares:

• Conduzir avaliações trimestrais da eficácia do Gerenciamento de vulnerabilidades
• Implementar a coleta de feedback das equipes de desenvolvimento sobre os processos de segurança
• Atualizar regularmente os procedimentos com base em novas ameaças e lições aprendidas
• Estabeleça benchmarking em relação aos padrões da indústria e práticas recomendadas

Considerações importantes

Priorização baseada em risco: nem todas as vulnerabilidades exigem correção imediata. Desenvolva uma estrutura de avaliação de risco que considere a gravidade das vulnerabilidades, a criticidade dos ativos, a explorabilidade e o impacto nos negócios para tomar decisões de priorização informadas.

Gerenciamento de falso positivo: scanners de vulnerabilidades podem gerar falso positivo. Estabeleça processos para validar vulnerabilidades e gerenciar a precisão do scanner para evitar desperdício de recursos em riscos inexistentes.

Equilíbrio de continuidade de negócios: as melhorias de segurança devem ser equilibradas com as operações de negócios e a velocidade de desenvolvimento. Estabeleça políticas claras para quando as preocupações com a segurança prevalecem sobre as considerações operacionais e vice-versa.

Complexidade de gerenciamento de dependência: Os aplicativos modernos possuem árvores de dependência complexas. Considere o impacto total das atualizações de dependência, incluindo possíveis alterações significativas e problemas de compatibilidade.

Requisitos de conformidade: diferentes setores têm requisitos de Gerenciamento de vulnerabilidades variados. Garanta que seus processos atendam aos padrões regulatórios e de conformidade aplicáveis à sua organização.

Desafios e soluções comuns

Restrições de recursos: Aborde implementando priorização baseada em risco, automação de tarefas rotineiras e integração com o fluxo de trabalho existente para maximizar a eficiência.

Coordenação entre equipes: resolva por meio de definição clara de funções, comunicação regular, ferramentas e painel compartilhados e estabelecimento de campeões de segurança dentro das equipes de desenvolvimento.

excesso de alertas: Gerencie implementando filtragem inteligente, algoritmos de priorização e correção automática para vulnerabilidades de baixo risco.

Dívida técnica: resolva incorporando melhorias de segurança em ciclos regulares de manutenção e iniciativas de redução de dívida técnica.

Próximos passos

Após implementar esta regra do scorecard:

1. Completar a frameworkde Excelência em Engenharia garantindo que as regras de Utilização de CPU, Utilização de memória e Monitoramento de Alterações sejam implementadas
2. Explorar práticas de segurança complementares por meio da otimização do monitoramento de erros para identificar erros relacionados à segurança
3. Implemente o monitoramento avançado de segurança explorando recursos adicionais do New Relic Security para detecção abrangente de ameaças
4. Considerar a frameworkmais ampla de maturidade da observabilidade para melhoria holística em todos os domínios da observabilidade