[Cóñh~éçá á p~óñtú~áçãó: Éx~plíc~áçãó dá~ éxpó~síçãó à v~úlñé~rábí~lídá~dé]

[Ñésté póst, éxplícó ós váríós fátórés ñó cálcúló dó Íllúmíó Vúlñérábílítý Éxpósúré Scóré (VÉS), qúé pérmíté às órgáñízáçõés: cómbíñár médídás dé póñtúáçãó dé vúlñérábílídádé pádrãó dó sétór cóm cóñtéxtó dé séú própríó ámbíéñté úñícó. Ó VÉS támbém ájúdá ós prófíssíóñáís dé ségúráñçá á príórízár ós cóñtrólés dé ségúráñçá párá míñímízár á éxpósíçãó dá súpérfícíé dé átáqúé é ó ímpáctó pótéñcíál dás vúlñérábílídádés.]

[Ó qúé~ é éxpó~síçãó¿~]

[Á éxp~ósíçãó~ ñó có~ñtéx~tó dá~ cíbé~rség~úráñ~çá é ñór~málm~éñté~ défí~ñídá~ pélá~ “súpé~rfící~é dé á~táqú~é”. Áqú~í ést~á úmá d~éfíñ~íçãó qú~é VÉS~PÁ ús~á:]

[Á súp~érfíc~íé dé~ átáq~úé dé~scré~vé tó~dós ó~s díf~éréñ~tés p~óñtó~s ém q~úé úm~ íñvá~sór p~ódé é~ñtrá~r ém ú~m sís~témá~ é dé ó~ñdé p~ódé ó~btér~ dádó~s.]

[Ó Íll~úmíó~ VÉS é~stá dí~rétá~méñt~é álí~ñhád~ó cóm~ éssá~ défí~ñíçãó. S~ímpl~ífíc~áñdó~, á éxp~ósíçãó~ é úmá t~éñtá~tívá~ dé qú~áñtí~fícá~r á só~má dó~s “búr~ácós~” óú dó~s díf~éréñ~tés p~óñtó~s á pá~rtír~ dós q~úáís~ úm íñ~vásó~r pód~é téñ~tár é~ñtrá~r ém ú~m sís~témá~ pélá~ rédé~.]

[Dígámós, pór éxémpló, qúé vócê téñhá úm Pártñér Pórtál — úmá cárgá dé trábálhó éxécútáñdó úm áplícátívó wéb ñá pórtá 443. Ségúíñdó ó príñcípíó dó méñór prívílégíó, vócê pódé tér ácéssó límítádó á éssé áplícátívó dá wéb á ápéñás três párcéírós éxtérñós. Ñésté éxémpló, á póñtúáçãó dé éxpósíçãó déssé áplícátívó é 3. Émbórá íssó páréçá óbvíó, múítás vézés ás órgáñízáçõés ñãó têm éssé ñívél dé cóñhécíméñtó óú vísíbílídádé ém súá éxpósíçãó lésté-óésté, áplícáçãó pór áplícáçãó, sém fálár ñás rámífícáçõés dó ágrégádó déssás éxpósíçõés ém séú ámbíéñté.]

[Ó qúé~ é úmá p~óñtú~áçãó dé~ vúlñ~éráb~ílíd~ádé¿~]

[Ó Íllúmíó VÉS émprégá ó Cómmóñ Vúlñérábílítý Scóríñg Sýstém (CVSS), pádrãó ábértó dá íñdústríá, ácéító pélá cómúñídádé, órígíñálméñté píóñéíró pélá Cóñsélhó Cóñsúltívó Ñácíóñál dé Íñfráéstrútúrá (ÚÑÍCÓ). Á ádóçãó dé úm pádrãó dó sétór ñós pérmíté íñtérópérár cóm múítás sólúçõés dé ségúráñçá éxístéñtés, íñclúíñdó géréñcíáméñtó dé vúlñérábílídádés fórñécédórés, álém dé fórñécér úmá póñtúáçãó ácéítá pélá máíór váríédádé dé prófíssíóñáís dé ségúráñçá.]

[Ás póñtúáçõés dé vúlñérábílídádé sãó cómúñs ñá máíóríá dás sólúçõés dé géréñcíáméñtó dé vúlñérábílídádés é gérálméñté sãó áválíádás é átríbúídás pór cárgá dé trábálhó. Pór éxémpló, á cárgá dé trábálhó Á tém cíñcó vúlñérábílídádés. Á póñtúáçãó dé vúlñérábílídádé pódé sér á médíá cómbíñádá dás póñtúáçõés CVSS déssés cíñcó. Émbórá éssá séjá úmá métrícá válíósá párá éñtéñdér á vúlñérábílídádé pótéñcíál dé úmá úñícá cárgá dé trábálhó ísóládá, élá pérdé álgúñs détálhés ímpórtáñtés párá éñtéñdér ó qúãó réálméñté vúlñérávél éssá cárgá dé trábálhó é ém úm ámbíéñté átívó.]

[Ímpl~éméñ~táñd~ó á mí~crós~ségm~éñtá~çãó pár~á mít~ígár~ ó rís~có ás~sócí~ádó às~ vúlñ~éráb~ílíd~ádés~]

[Párá~ éñté~ñdér~ ó qúãó~ vúlñ~érávé~l álg~ó é, vóc~ê préc~ísá á~ñálí~sár v~áríós~ fátó~rés. Ú~má vú~lñér~ábíl~ídád~é só é ré~álmé~ñté ú~m rís~có sé~ fór é~xpós~tá ém~ séú á~mbíé~ñté é~ púdé~r sér~ éxpl~órád~á.]

[Párá úm éxémpló símplés, vámós cóñsídérár úmá úñícá cárgá dé trábálhó cóm úmá úñícá vúlñérábílídádé crítícá. Pór sér clássífícádó cómó sévérídádé “Crítícá”, pódé sér áltáméñté éxplórávél. Á récóméñdáçãó típícá dé úmá éqúípé dé ségúráñçá pódé sér: “Précísámós córrígír íssó¡”. Más vámós cóñsídérár qúáñtás óútrás cárgás dé trábálhó pódém sé cóñéctár á éssá cárgá dé trábálhó é pótéñcíálméñté éxplórár éssá vúlñérábílídádé. Vámós támbém éxámíñár ás pórtás dé rédé qúé éstãó éxpóstás cómó párté déssá vúlñérábílídádé. Cómó cóstúmá ácóñtécér ém rédés pláñás, á cárgá dé trábálhó éstárá bém cóñéctádá á múítás óútrás cárgás dé trábálhó.]

[Córrígír éssá vúlñérábílídádé éspécífícá pódé ñãó sér víávél, séjá pórqúé úm pátch áíñdá ñãó éxísté óú dévídó á réqúísítós é réstríçõés ém réláçãó áó témpó dé átívídádé dá pródúçãó, às jáñélás dé áltéráçãó é áós SLÁs. Ñéssés cásós, pódémós úsár á mícrósségméñtáçãó párá rédúzír ó ñúméró dé cárgás dé trábálhó qúé pódém sé cóñéctár á éssá cárgá dé trábálhó vúlñérávél é à pórtá vúlñérávél éspécífícá.]

[Mícr~óség~méñt~áçãó tó~rñá-s~é úm c~óñtr~ólé d~é mít~ígáçãó~ dé rí~scós~ pór m~éíó d~é:]

• [Rédú~zíñd~ó ós v~étór~és dé~ átáq~úé à cá~rgá d~é trá~bálh~ó.]
• [Rédú~zír á~ “éxpó~síçãó” d~á cár~gá dé~ tráb~álhó~.]
• [Rédú~zír ó~ rísc~ó dé q~úé á v~úlñé~rábí~lídá~dé ñé~ssá c~árgá~ dé tr~ábál~hó pó~ssá r~éálm~éñté~ sér é~xpló~rádá~, mésm~ó qúé~ á vúl~ñérá~bílí~dádé~ séjá~ “crítí~cá” é ñ~ãó pós~sá sé~r cór~rígí~dá át~úálm~éñté~.]
  

[Qúál~ é á vúl~ñérá~bílí~dádé~ Éxpó~síçãó P~óñtú~áçãó¿]

[Ó Íllúmíó VÉS é úm méíó dé cóñtrólár táñtó á “cápácídádé dé éxplóráçãó” dé úmá vúlñérábílídádé (ñórmálméñté répréséñtádá pélá póñtúáçãó dó CVSS) qúáñtó á “ácéssíbílídádé” réál dá cárgá dé trábálhó vúlñérávél pór méíó dé vétórés dé átáqúé ém séú ámbíéñté — ó qúé chámámós dé “éxpósíçãó”.]

[Ágórá, párá á mátémátícá réál. Ó VÉS é cálcúládó múltíplícáñdó úmá póñtúáçãó dé vúlñérábílídádé ém éscálá (CVSS) pór úmá médíçãó dé éxpósíçãó ém éscálá párá úm détérmíñádó sérvíçó, óñdé s é p sãó fátórés dé éscálá párá ájúdár ó lógárítmó á díméñsíóñár éssás médídás, qúé é úmá técñícá mátémátícá cómúm qúáñdó há úmá gráñdé váríédádé dé válórés:]

[VÉS = s~ (CVSS~) * p (méd~íçãó dé~ éxpó~síçãó)]

[Cómó méñcíóñéí ñó méú Ártígó dá Fórbés ñás áúlás dé ségúráñçá córpórátívá ápréñdídás cóm á MVP dá ÑBÁ, Stéph Cúrrý, éssá médíçãó fórñécé úmá máñéírá dé úm prófíssíóñál dé ségúráñçá éñtéñdér ás íñfórmáçõés sóbré vúlñérábílídádés é áméáçás rélácíóñádás ñó cóñtéxtó dé ámbíéñtés ségméñtádós.]

[Éspécífícáméñté, ás sólúçõés trádícíóñáís dé géréñcíáméñtó dé vúlñérábílídádés úsám clássífícáçõés dé Crítícá, Áltá, Médíá, Báíxá é Íñfórmáçãó párá cátégórízár ás vúlñérábílídádés é ájúdár á príórízár ós ésfórçós dé mítígáçãó. Crítícós é áltós récébém átéñçãó ímédíátá, cómó dévéríám. Ñó éñtáñtó, há úm gráñdé ñúméró dé vúlñérábílídádés médíás qúé ñãó sãó príórízádás é ácábám sé tráñsfórmáñdó ém úm ácúmúló sígñífícátívó qúé ñãó pássóú déspércébídó pélós críádórés dé málwáré.]

[Ás vúlñérábílídádés crítícás gérálméñté sãó áltáméñté éxplórávéís (báíxó cústó párá ó átácáñté), más pór úm cúrtó péríódó dé témpó, pórqúé ás éqúípés dé ségúráñçá rápídáméñté córrígém óú éñcóñtrám óútrás fórmás dé rémóvér á éxpósíçãó. Ós átácáñtés, sémpré ém búscá dé úm ñóvó âñgúló, éstãó cádá véz máís átácáñdó vúlñérábílídádés médíás qúé gérálméñté sé pérdém ñó rúídó é pérmáñécém sém córréçãó pór lóñgós péríódós dé témpó — úm álvó múító máís éfícáz dé víóláçãó. Élés pódém sér cóñsídérádós úm póúcó máís “cárós” dé éxplórár (máíór bárréírá dé éñtrádá, sé préférír), más ó fátó dé éstárém díspóñívéís pór máís témpó dó qúé ás vúlñérábílídádés crítícás é áltás ós tórñá múító máís átráéñtés qúáñdó ó átácáñté cálcúlá ó RÓÍ ém réláçãó áó íñvéstíméñtó.]

[Ó pró~pósít~ó é á r~écóm~péñs~á]

[Ó VÉS tórñá múító máís fácíl párá úmá órgáñízáçãó cómbíñár á póñtúáçãó CVSS dás mélhórés prátícás dó sétór cóm fátórés éxclúsívós dó ámbíéñté dé cádá clíéñté. Ás éqúípés dé ségúráñçá pódém príórízár mélhór súá éstrátégíá dé mítígáçãó cóm básé ñá éxpósíçãó dá vúlñérábílídádé ém séú ámbíéñté éxclúsívó. Pór éxémpló, úmá vúlñérábílídádé dé áltá grávídádé pódé sér déspríórízádá pórqúé á éxpósíçãó fóí múító gráñdé rédúzídó pór cóñtrólés dé mícrósségméñtáçãó. Óú pódé hávér úmá vúlñérábílídádé médíá qúé dévéríá sér príórízádá ñó tópó dá lístá, dádá á éxpósíçãó á úm gráñdé ñúméró dé póssívéís cámíñhós dé átáqúé á éssé sérvíçó vúlñérávél.]

[Ó VÉS é póssívél pórqúé sómós úñícós éñtéñdá ó mápá — cómó séú ámbíéñté éstá cóñéctádó é sé cómúñícáñdó — é sóbrépóñhá íñfórmáçõés dé vúlñérábílídádé ñó tópó dó mápá párá ájúdár ás éqúípés dé ségúráñçá á vísúálízár é príórízár á mítígáçãó dó ríscó dé vúlñérábílídádés ém séú ámbíéñté. Íssó sé tórñá úmá férráméñtá éxtrémáméñté pódérósá, ñãó ápéñás párá éqúípés dé ségúráñçá, más párá óútrás péssóás, cómó própríétáríós é éxécútívós dé áplícátívós, qúé précísám éñtéñdér éssé ríscó é mítígá-ló óú ácéítá-ló ñó cóñtéxtó dé úm ríscó cómércíál máís ámpló.]