Escolar Documentos
Profissional Documentos
Cultura Documentos
CONTÍNUO DE
VULNERABILIDADES
UMA ABORDAGEM ORIENTADA A RISCOS
SU
MÁ
RIO
1 - Gerenciamento Contínuo de Vulnerabilidades....................................... 4
2 - Conceito de Vulnerabilidade................................................................... 9
3 - Bases de Dados e Catálogos de Vulnerabilidades............................... 13
4 - Severidade de Vulnerabilidades........................................................... 21
5 - O Processo de Gerenciamento de Vulnerabilidades............................ 25
6 - Gerenciamento de Riscos..................................................................... 28
7 - Riscos Cibernéticos.............................................................................. 30
8 - A Plataforma BART GCV....................................................................... 34
9 - Perguntas Frequentes sobre Modelo BART GCV.................................. 38
O termo Vulnerabilidade
se refere a fragilidades
que podem ser exploradas
de modo a comprometer a
segurança.
1
BART é o acrônimo para “Baselines, Análise de Riscos e Testes de Segurança”, nome do
projeto que deu origem à plataforma de GCV da Clavis.
Algumas diferentes definições nos ajudam a ter uma noção mais rigorosa
do contexto de vulnerabilidade de software.
CVE
As letras CVE originalmente representavam as iniciais de “Common Vul-
nerabilities and Exposures”; no entanto, a sigla ganhou um significado pró-
prio tão forte que passou a ser utilizada de forma “autônoma”, de modo
que a descrição completa do significado original de CVE já não é encon-
trada na descrição do “CVE Program” na página oficial https://www.cve.
org/About/Overview.
NVD
NVD é a sigla para National Vulnerability Database (https://nvd.nist.gov/),
uma base de dados mantida pelo NIST, órgão do Departamento de Co-
mércio dos Estados Unidos. O NVD é “alimentado” pelo CVE, mas os re-
gistros de vulnerabilidades são complementados com informações valio-
sas; em particular, cada CVE é associado a um CWE (estabelecendo uma
“categoria de fragilidade” à qual está associada aquela vulnerabilidade) e
são estabelecidas métricas de severidade, com a avaliação de índices de
“explorabilidade” e “impacto” conforme a metodologia CVSS.
CWE TOP 25
O “Top 25” do CWE (https://cwe.mitre.org/top25/archive/2021/2021_
cwe_top25.html) é uma metodologia para selecionar as 25 mais relevan-
tes categorias de fragilidades de software. Esta seleção é feita de ma-
neira objetiva e totalmente orientada a dados: a cada ano, o conjunto de
CVEs associados a cada CWE é avaliado, tanto em quantidade quanto em
índices de severidade.
OWASP TOP 10
O “Top 10” da OWASP (https://owasp.org/www-project-top-ten/) é meto-
dologia para selecionar as 10 mais relevantes categorias de fragilidades
de software. Ao contrário do CWE Top 25, o Top 10 da OWASP é bem
mais subjetivo: embora seja fortemente baseado em dados (obtidos de
consultorias de segurança especializadas em análise de aplicações de
software), a lista também considera o resultado de um survey conduzido
junto à comunidade de especialistas.
EPSS
EPSS é a sigla para Exploit Prediction Scoring System (first.org/epss/).
Trata-se de um sistema que visa fornecer uma pontuação para prever a
probabilidade de uma vulnerabilidade específica ser explorada no futuro.
KEV
KEV é a sigla para Known Exploited Vulnerabilities Catalog (cisa.gov/
known-exploited-vulnerabilities-catalog). Trata-se de um catálogo de vul-
nerabilidades conhecidas e exploradas, mantido pelo CISA (Cybersecurity
and Infrastructure Security Agency). O KEV contém informações detalha-
das sobre vulnerabilidades que foram identificadas como exploradas ati-
O BART GCV tem como objetivo viabilizar o apoio ao ciclo de vida de ge-
renciamento contínuo de vulnerabilidades em uma abordagem orientada
a riscos.
Centralização de informações:
Mapeamento de ativos:
Monitoramento de ativos:
Baselines de Segurança:
Boletim de ameaças:
Tratamento de vulnerabilidades:
Resposta: Sim, o Bart GCV pode ser adaptado para atender às necessida-
des de diferentes organizações, independentemente do tamanho ou setor
em que atuam. As configurações e vulnerabilidades podem variar, mas o
processo de gestão e as ferramentas utilizadas pelo Bart GCV podem ser
personalizados para cada caso.
E-mail: contato@clavis.com.br
Telefone: (21) 2210-6061 | (21) 2561-0867
Whatsapp: (21) 97915-9602 | (21) 96551-2568
www.clavis.com.br