Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
EnglishEspañolItalianoFrançaisDeutschPortuguês
Soluções
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Compre Agora Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinarsMicrosoft Alliance
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
CIS Control 7: Gerenciamento Contínuo de Vulnerabilidades

CIS Control 7: Gerenciamento Contínuo de Vulnerabilidades

May 4, 2022

O Centro para Segurança da Internet (CIS) fornece Controles de Segurança Críticos para ajudar organizações a melhorar a cibersegurança. O Controle 7 aborda a gestão contínua de vulnerabilidades (este tópico foi previamente tratado no CIS Control 3).

Conteúdo relacionado selecionado:

A gestão contínua de vulnerabilidades é o processo de identificar, priorizar, documentar e remediar pontos fracos em um ambiente de TI. A gestão de vulnerabilidades deve ser contínua porque os dados sensíveis estão crescendo a uma taxa sem precedentes e os ataques estão aumentando tanto em frequência quanto em sofisticação.

Este controle descreve 7 melhores práticas que podem ajudar organizações a minimizar riscos para seus recursos críticos de TI.

Conteúdo relacionado selecionado:

7.1. Estabeleça e mantenha um processo de gerenciamento de vulnerabilidades.

A primeira medida de proteção recomenda que as organizações criem um processo contínuo de gerenciamento de vulnerabilidades e o revisem anualmente ou “quando ocorrerem mudanças significativas na empresa que possam impactar esta Salvaguarda.”

Um processo contínuo de gerenciamento de vulnerabilidades deve consistir em 4 componentes:

  • Identificação.As organizações precisam identificar todo o seu código proprietário, aplicações de terceiros, dados sensíveis, componentes de código aberto e outros ativos digitais, e depois identificar suas fraquezas. Ferramentas de avaliação e scanners podem ajudar nesse processo, que deve ser repetido tão raramente quanto uma vez por semana ou tão frequentemente quanto várias vezes por dia, dependendo da tolerância ao risco da organização, da complexidade do ambiente de TI e de outros fatores.
  • Avaliação. Todas as vulnerabilidades descobertas devem ser avaliadas e priorizadas. Métricas comuns para avaliação contínua de vulnerabilidades incluem a Pontuação de Severidade de Vulnerabilidades Comuns (CVSS) da NIST, facilidade de exploração por um ator de ameaça, dificuldade de resolução, impacto financeiro da exploração e requisitos regulatórios relacionados ou padrões da indústria.
  • Remediação. Em seguida, a organização precisa corrigir ou abordar as fraquezas de acordo com a sua prioridade. A remediação é frequentemente gerenciada por meio de uma combinação de atualizações automáticas dos fornecedores, soluções de gerenciamento de patches e técnicas manuais.
  • Relatórios. É importante documentar todas as vulnerabilidades identificadas, os resultados da avaliação e o progresso em direção à remediação, juntamente com quaisquer custos envolvidos. Um relatório adequado otimizará esforços futuros de remediação, simplificará apresentações para executivos e facilitará a conformidade.

7.2. Estabeleça e mantenha um processo de remediação.

Uma vez que um processo de gerenciamento de vulnerabilidades tenha sido estabelecido, um processo de remediação deve ser definido para especificar a resposta da organização quando identificar a necessidade de atuação. O sub-controle 7.2 é projetado para ajudar organizações a priorizar e sequenciar seus processos de TI, com o CIS descrevendo seu propósito como sendo para:

“Estabeleça e mantenha uma estratégia de remediação baseada em risco documentada em um processo de remediação, com revisões mensais ou mais frequentes.”

O processo de remediação incorpora um conjunto de ferramentas para resolver vulnerabilidades assim que elas são identificadas. As táticas de remediação mais utilizadas incluem patches automáticos ou manuais. O processo de remediação de uma empresa também pode incluir software de gerenciamento de vulnerabilidades baseado em risco (RBVM) para ajudar as empresas a triar as ameaças potenciais que enfrentam, bem como algoritmos avançados de ciência de dados e software de análise preditiva para deter ameaças antes que sejam expostas.

7.3. Realize a gestão automatizada de patches do sistema operacional.

Os sistemas operacionais são softwares fundamentais, e os fornecedores lançam frequentemente correções que abordam vulnerabilidades importantes. Para garantir que as atualizações críticas sejam aplicadas de maneira oportuna, as organizações devem implementar um sistema automatizado que as aplique pelo menos mensalmente.

De forma mais abrangente, um framework de gerenciamento de patches abrangente é necessário para ter as seguintes capacidades:

  • Coleta de informações. Ao escanear periodicamente os dispositivos, as organizações podem identificar quais precisam de atualização e podem implantar seus patches mais rapidamente. Alguns softwares de gerenciamento de patches automatizados também coletam detalhes de hardware e do usuário para fornecer uma imagem mais clara do status do endpoint.
  • Download de patch.Fazer o download de um patch é um processo relativamente simples. A dificuldade surge quando um grande número de dispositivos precisa de atualizações diferentes ou a organização depende de muitos sistemas operacionais distintos. Um software de gerenciamento de patches automatizado deve ser capaz de lidar com ambas as situações de forma eficiente.
  • Criação de pacotes. Um pacote consiste em todos os componentes necessários para aplicar um patch. O software de gerenciamento de patches automatizado deve ser capaz de criar pacotes de diferentes níveis de complexidade e com muitos tipos diferentes de componentes.
  • Distribuição de patches. Para evitar frustrar os usuários e interromper processos de negócios, o software de gerenciamento de patches deve poder ser programado para iniciar em determinados horários e executar em segundo plano.
  • Uma vez aplicado um patch, as organizações devem reunir informações sobre quais dispositivos foram atualizados e quais atualizações foram utilizadas. Softwares de gerenciamento de patch automatizado devem gerar relatórios automáticos para que as equipes de TI possam planejar quais passos tomar em seguida.

7.4. Realize a gestão automatizada de patches de aplicativos.

Como os sistemas operacionais, muitos aplicativos e plataformas precisam ser atualizados com patches, que devem ser aplicados pelo menos mensalmente. Muitas vezes, a mesma solução pode ser usada para implementar a atualização de patches tanto para sistemas operacionais quanto para aplicativos.

7.5. Realize varreduras automatizadas de vulnerabilidades nos ativos internos da empresa.

Organizations should scan their IT assets for vulnerabilities at least quarterly. CIS recommends automating the process using a SCAP-compliant vulnerability scanning tool. (SCAP provides standards for scanners and vulnerability remediation tools.)

Tipos de varreduras incluem:

  • Varreduras baseadas em rede, que identificam vulnerabilidades em redes com ou sem fio. Isso é feito localizando dispositivos e servidores não autorizados, e examinando conexões com parceiros comerciais para garantir que seus sistemas e serviços estejam seguros.
  • Varreduras baseadas em host, que avaliam endpoints como hosts, servidores e estações de trabalho. Essas varreduras também examinam configurações de sistema e histórico recente de patches para encontrar vulnerabilidades.
  • Varreduras de aplicativos, que garantem que as ferramentas de software estejam corretamente configuradas e atualizadas.
  • Varreduras sem fio, que identificam pontos de acesso não autorizados e garantem a configuração adequada.
  • Varreduras de banco de dados, que avaliam os bancos de dados.

As varreduras de vulnerabilidade podem ser autenticadas ou não autenticadas. Varreduras autenticadas permitem que os testadores façam login e procurem por fraquezas como usuários autorizados. Varreduras não autenticadas permitem que os testadores se passem por intrusos tentando invadir sua própria rede, ajudando-os a descobrir vulnerabilidades que um atacante encontraria. Ambas são úteis e devem ser implementadas como parte de uma estratégia contínua de gerenciamento de vulnerabilidades.

7.6. Realize varreduras automatizadas de vulnerabilidades em ativos empresariais expostos externamente.

As organizações devem prestar atenção especial na busca por vulnerabilidades em dados sensíveis e outros ativos que estão expostos a usuários externos, como por meio da internet. O CIS recomenda a varredura de vulnerabilidades em ativos expostos externamente pelo menos mensalmente (em oposição a trimestralmente para ativos internos). No entanto, em ambos os casos, deve-se utilizar uma ferramenta de varredura de vulnerabilidades automatizada e compatível com SCAP.

Algumas organizações possuem mais ativos digitais expostos externamente do que têm conhecimento. Certifique-se de que suas varreduras cobrem todos os seguintes itens:

  • Dispositivos
  • Segredos comerciais
  • Códigos de segurança
  • Sensores IoT
  • Equipamento de operação remota
  • Apresentações
  • Informações do cliente
  • Roteadores para trabalho remoto

7.7. Remedie as vulnerabilidades detectadas.

O Controle 7.2 detalha como estabelecer e manter um processo para remediação de vulnerabilidades. Recomenda-se realizar a remediação pelo menos mensalmente.

Como a Netwrix pode ajudar

Implementar um processo contínuo de avaliação e remediação de vulnerabilidades pode ser um desafio. As organizações frequentemente descobrem um grande número de vulnerabilidades e lutam para remediá-las de forma tempestiva.

Netwrix Change Tracker pode ajudar. Ele pode:

  • Ajude a fortalecer seus sistemas críticos com modelos de construção personalizáveis de vários órgãos de normas, incluindo CIS, DISA STIG e SCAP/OVAL.
  • Verifique se seus arquivos críticos do sistema são autênticos acompanhando todas as modificações neles e facilitando a revisão de um histórico completo de todas as alterações.
  • Monitore as alterações na configuração do sistema e alerte imediatamente para quaisquer modificações não planejadas.
  • Reduza o tempo e o esforço gastos com relatórios de conformidade com mais de 250 relatórios certificados pela CIS cobrindo NIST, PCI DSS, CMMC, STIG e NERC CIP.

FAQ

O que é varredura contínua de vulnerabilidades?

É o processo de busca e classificação contínua de fraquezas de segurança em sistemas e softwares, incluindo falhas conhecidas, bugs de codificação e más configurações que podem ser exploradas por atacantes.

O que envolve o processo de gerenciamento de vulnerabilidades?

Um processo contínuo de gerenciamento de vulnerabilidades deve consistir em quatro componentes:

  • Identifique todos os ativos de TI e escaneie-os em busca de vulnerabilidades.
  • Priorize as vulnerabilidades descobertas com base em fatores como a probabilidade e o custo de exploração.
  • Corrija ou solucione as fraquezas detectadas.
  • Documente as vulnerabilidades identificadas, os resultados da avaliação e o progresso em direção à remediação, bem como quaisquer custos envolvidos.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Últimos blogs

7 melhores alternativas ao CyberArk em 2026

8 alternativas ao Varonis que valem a pena avaliar em 2026

Identidades não humanas (NHIs) explicadas e como protegê-las

Controle de acesso em cibersegurança

Como o Netwrix DSPM complementa o Microsoft 365

Como proteger dados em repouso, em uso e em movimento

Segurança no trabalho remoto: o guia completo para proteger o espaço de trabalho digital

12 Riscos Críticos de Segurança de Shadow AI que Sua Organização Precisa Monitorar em 2026

Expansão do Teams: Gerenciando a proliferação do Microsoft Teams

Como consegui o Admin de Domínio via SafeNet Agent para Logon do Windows através do ESC1

Nossos principais artigos

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Baixe e instale o PowerShell 7

Variáveis de Ambiente do PowerShell

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Como executar um script PowerShell

Uma visão geral do ataque cibernético da MGM

Tipos Comuns de Dispositivos de Rede e Suas Funções

Powershell Delete File If Exists

Tutorial de Scripting do Windows PowerShell para Iniciantes