Introdução

Quando falamos em risco de ativos, analisamos a probabilidade de algo acontecer, e o impacto se caso ocorrer, diferente do planejado relacionado a um ativo.
Gerando a necessidade de uma ação pró-ativa sobre determinados riscos, para que haja uma menor chance deste risco se concretizar.


Quando criamos uma classificação de riscos dos ativos, relacionado ao contexto do negócio, podemos ter uma gestão de priorização, visando qual ativo seria mais crítico ao negócio caso viesse à sofrer com um incidente de segurança, e assim, com esta classificação e gestão de forma coerente, poder realizar uma tomada de decisão com maior confiança, devido a classificação e disponibilidade de informação.

O GAT Core se diferencia da maioria das demais soluções permitindo a visão e o gerenciamento da segurança de diversos tipos de Ativos. Atualmente, o GAT Core trabalha com os seguintes tipos de Ativos:

  • Host (baseado no endereço IP)

  • Aplicação (baseado na URL)

  • Pessoa (baseado no endereço de email)

  • Empresa

  • Processo

  • Cloud

Cada Ativo, independente do seu tipo, possui uma severidade, que varia de Informativo para Crítico. Essa severidade é definida pelo próprio usuário e varia de acordo com seu ambiente e regras de negócio.

Além disso, como já vimos nesse outro artigo, podemos juntar os ativos (inclusive de diferentes tipos) em Grupos de Ativos. Cada Grupo de Ativos também terá uma severidade, definida de acordo com as necessidades do ambiente do usuário.

Pontuação de Risco dos Ativos

O GAT Core não se limita apenas em contar a quantidade de apontamentos que cada ativo possui. Nós vamos além disso e calculamos, para cada ativo - independentemente de seu tipo - um score do risco que ele representa para seu negócio.

Esse score, ou pontuação de risco, é calculado com base nos apontamentos (e suas respectivas severidades) e a severidade do próprio ativo em questão. A fórmula para esse cálculo divide-se em duas etapas.

Primeiro cálculo:

\[ x = (critical * 0,01 + high * 0,007 + medium * 0,003 + low * 0,001) * sa \]

Sendo que:

  • \( sa \): severidade do Ativo

  • \( critical \): quantidade de apontamentos críticos

  • \( high \): quantidade de apontamentos altos

  • \( medium \): quantidade de apontamentos médios

  • \( low \): quantidade de apontamentos baixos

Segundo cálculo:

\[score = (x / sqrt(1 + x^2)) * 1000 \]

Dessa forma, o score de cada Ativo sempre irá variar entre 0 e 1000. Além disso, é possível perceber que os Apontamentos Informativos não contam para o cálculo desse score.

Exemplo

Vamos supor o seguinte cenário:

  • Ativo 196.168.101.22 com severidade Alta

  • 9 apontamentos críticos

  • 12 apontamentos altos

  • 0 apontamentos médios

  • 29 apontamentos baixos

  • 13 apontamentos informativos

A pontuação de risco desse Ativo, então, seria:

\[ x = (0,01 * 9 + 0,007 * 12 + 0,003 * 0 + 0,001 * 29) * 1,5 = 0,609 \]

\[ score = (0,609 / sqrt(1 + 0,609^2)) * 1000 = 520,14 \]

Ou seja, o score desse Ativo será 520.

Pontuação de Risco dos Grupos de Ativos

A pontuação de risco dos Grupos de Ativos funciona de forma semelhante. Sua fórmula também é dividida em duas etapas, porém baseia-se nos scores já calculados de seus membros.

A primeira etapa do cálculo é:

\[ x = sum( sa ) * sg \]

Sendo que:

  • \( sg \): severidade do Grupo de Ativos

  • \( sa \): severidade de cada Ativo que faz parte do grupo

A segunda etapa do cálculo é:

\[ score = (x / sqrt(1 + x^2)) * 1000 \]

Exemplo

Neste cenário, vamos supor o seguinte:

Assim, a pontuação do Grupo de Ativos DMZ seria:

\[ (350 + 120 + 43) * 0,000075 = 0,038475 \]

\[ score = (0,038475 / sqrt(1 +0,038475^2)) * 1000 = 153,41 \]

Assim, o score desse grupo será igual a 153.

Conclusão

Dessa forma, o GAT Core consegue mapear e mostrar os Ativos e Grupos que precisam de maior atenção a qualquer momento (já que esses cálculos são feitos em real-time). Isso ajuda as equipes priorizarem o trabalho de correção, focando nos ativos e apontamentos que trazem um maior risco para o negócio.

Veja o exemplo abaixo:

Percebemos que o ativo CEO possui apenas 2 apontamentos, mas que totalizam uma pontuação de 387.

Por outro lado, o ativo 192.16.2.24 possui 331 (!!!) apontamentos, totalizando um score de apenas 33 (mais que 10 vezes menos que o outro ativo).

Fica claro que é muito mais vantajoso corrigir os 2 apontamentos associados ao CEO do que os 331 apontamentos associados à 192.16.2.24, uma vez que isso reduzirá mais de dez vezes o risco!

Encontrou sua resposta?