Empresa

Da descoberta à divulgação: Gerir uma vulnerabilidade de cibersegurança

julho 08, 2025 20 min de leitura por Grant Gallacher

Vista em ângulo baixo de um prédio residencial branco moderno, com varandas e uma seção central envidraçada, tendo como pano de fundo um céu azul.

Como os projetos de modernização melhoram a experiência do morador

Imagem que mostra o “Custo Total de Propriedade” com o selo TCO, moedas empilhadas e linhas onduladas em vermelho e azul.

Porque é que o custo total de propriedade é importante no controlo de acessos?

Prédio residencial histórico de cor clara, com varandas decorativas e venezianas verdes, fotografado de baixo para cima.

Cinco erros comuns ao trocar de sistema de controle de acesso

Categoria

Nenhum sistema está imune às ciberameaças. Saiba como gerir uma vulnerabilidade na cibersegurança, desde a deteção à divulgação, e porque é que os fornecedores transparentes são importantes.

Nenhum sistema é 100% seguro.

Esta afirmação é verdadeira há mais de 40 anos e é mais relevante hoje do que nunca. Mesmo com utilizadores bem formados e um desenvolvimento centrado na segurança, surgirão sempre novas vulnerabilidades emergir - por vezes de formas inesperadas, o que realça a importância constante da sensibilização para a cibersegurança.

A gestão das vulnerabilidades não é apenas da responsabilidade dos fabricantes mas um esforço partilhado que envolve integradores de sistemas, hackers éticos e investigadores de segurança. Qualquer pessoa pode deparar-se com falhas de segurança em qualquer sistema. A questão é: O que é que devem fazer a seguir - e como é que a empresa se deve comportar?

Identificar uma vulnerabilidade

A vulnerabilidade na cibersegurança pode assumir muitas formas, incluindo:

Vulnerabilidades de software e firmware: O código desatualizado ou inseguro introduz riscos graves para a segurança (vulnerabilidades não corrigidas, backdoors codificados, mecanismos de atualização inadequados).
Segurança da rede e pontos fracos de comunicação: O tráfego de rede desprotegido pode ser intercetado e manipulado por atacantes (comunicação não encriptada, man-in-the-middle, algoritmos de encriptação fracos).
Vulnerabilidades de autenticação e controlo de acesso: Mecanismos de autenticação fracos podem permitir o acesso não autorizado ao sistema (palavra-passe predefinida, vulnerabilidade de força bruta, falta de autenticação multifactor).
Vulnerabilidades de hardware e configuração: Os dispositivos mal configurados criam um ponto de entrada fácil para os cibercriminosos (definições por defeito inseguras, interface de administração exposta).
Fator humano: Manipulação de indivíduos para que realizem acções ou divulguem informações confidenciais (phishing, engenharia social). É por isso que a formação de sensibilização dos trabalhadores para a cibersegurança é essencial - para garantir que o pessoal consegue reconhecer e responder adequadamente a potenciais ameaças.

Independentemente da forma como se descobre a vulnerabilidade - seja durante a instalação, o funcionamento do sistema, os testes de segurança ou um teste de penetração - é é fundamental lidar com ela de forma responsável.

Relatórios responsáveis: O que fazer a seguir

O primeiro e mais importante passo após a identificação de uma vulnerabilidade é comunicá-la diretamente ao fabricante e coordenar a suadivulgação publicamente após a sua atenuação. Os fabricantes responsáveis têm um processo claro de gestão da vulnerabilidade da cibersegurança, que normalmente inclui:

Um endereço de correio eletrónico dedicado ao contacto de segurança, um formulário de comunicação ou um sistema de emissão de bilhetes - a maioria das empresas fornece uma forma de apresentaras vulnerabilidades do de forma segura. Na 2N, por exemplo, temos uma Política de gestão de vulnerabilidades e um canal de comunicação oficial em 2N.com.

Acordos de divulgação coordenados - os investigadores de segurança trabalham frequentemente com os fabricantes de acordo com um calendário acordado antes de as vulnerabilidades se tornarem públicas.

O que NÃO fazer:

Não presumir que outra pessoa o vai denunciar. Se vires alguma coisa, diz alguma coisa.

Evitar divulgar publicamente divulgar a vulnerabilidade até que a organização afetada tenha tido tempo suficiente para a corrigir.

Não partilhar detalhes da vulnerabilidade com indivíduos ou entidades não autorizados.

O que é um programa de divulgação de vulnerabilidades?

Um fabricante responsável provavelmente seguirá a programa de divulgação de vulnerabilidades e, como tal, tomará as seguintes medidas:

Agradecimentos: A empresa confirma a receção do relatório e fornece a uma avaliaçãoinicial de.
Investigação e análise de riscos: Os especialistas em segurança avaliam a gravidade da vulnerabilidade, avaliam a facilidade com que pode ser explorada e determinam as estratégias de atenuação mais eficazes. Além disso, todas as partes devem chegar a acordo sobre um calendário para a publicação de uma correção e a subsequente divulgação pública da vulnerabilidade.
Desenvolver uma correção: O fabricante está a trabalhar numa correção de segurança para resolver o problema.
Sensaios e verificação de vulnerabilidades de segurança: A correção deve ser testada para garantir que resolve corretamente a vulnerabilidade sem introduzir novos problemas.
Divulgação pública e atribuição de CVE: Durante a comunicação mútua, as partes devem chegar a acordo sobre a atribuição de um ID CVE (Vulnerabilidades e Exposições Comuns) para tornar a vulnerabilidade do conhecimento público assim que estiver disponível uma correção.

O que é o CVE e o CNA?

CVE (Vulnerabilidades e Exposições Comuns) é um sistema normalizado da indústria que regista e nomeia as vulnerabilidades de segurança. Cada entrada CVE inclui a gravidade, a pontuação CVSS, os produtos afectados e a disponibilidade de correcções.

CNA (Autoridade de Numeração CVE) é uma organização autorizada a atribuir IDs CVE. Alguns dos principais fabricantes, incluindo a Axis, a Cisco e a Honeywell, actuam como CNAs.

O que acontece se as vulnerabilidades forem ignoradas?

Assim que o patch de segurança é lançado, os integradores de sistemas e as equipas de TI devem agir rapidamente para aplicar as actualizações. O atraso nas actualizações deixa os sistemas vulneráveis à exploração.

Um exemplo do que acontece quando as vulnerabilidades da cibersegurança são ignoradas:

A Equifax violação de dados (2017): Uma vulnerabilidade conhecida do Apache Struts (CVE-2017-5638) não foi corrigida a tempo, o que resultou na exposição de 147 milhões de registos, incluindo números da Segurança Social nos EUA. A violação levou a uma coima de 700 milhões de dólares e a danos irreparáveis na reputação da empresa.

Este caso sublinha uma lição crucial: Identificar Identificar vulnerabilidades não é suficiente - uma resposta rápida e uma comunicação transparente são fundamentais.

Porquê estabelecer uma parceria com fabricantes transparentes?

Parcerias com fabricantes que seguem práticas sólidas de divulgação de vulnerabilidades beneficia todos os envolvidos:

Para proteger os seus clientes: Os clientes esperam sistemas seguros e actualizados. Trabalhar com fornecedores que lançam actualizaçõesatempadas garante proteção e confiança a longo prazo.

Para reforçar os seus conhecimentos: Saber como reagir a uma vulnerabilidade na segurança cibernética torna-o um integrador mais valioso - e abre novas oportunidades de serviço, como contratos de manutenção e pacotes de atualização.

Para garantir a responsabilidade do fornecedor: Fornecedores responsáveis fornecem orientações claras, alertas precoces e avisos de segurança - incluindo políticas públicas de vulnerabilidade e comunicação transparente.

A cibersegurança é uma responsabilidade partilhada

Nós fechámos o círculo: nenhum sistema será 100% seguroe as vulnerabilidades surgirão sempre. Mas com relatórios responsáveis, testes proactivos testes de vulnerabilidade de segurançae uma colaboração transparente entre fabricantes e integradores, os riscos podem ser mitigados - e a confiança pode ser construída.

Quer seja um integrador, programador ou investigador de segurança, o seu papel na cibersegurança é importante. E compreender como gerir as vulnerabilidades é uma das competências mais importantes que se pode desenvolver.

Quer ir mais longe?

Descarregue o nosso livro eletrónico sobre cibersegurança para saber mais sobre vulnerabilidades, desenvolvimento seguro e como proteger os seus sistemas contra ameaças em evolução.

Descarregar o nosso livro eletrónico