NIS2 Portugal

Política de Gestão de Vulnerabilidades

Template Completo para Conformidade NIS2 | Baseado em Dados 2024-2025

0% completo

Contexto: Panorama de Vulnerabilidades 2024-2025

Novos CVEs em 2024
40,009

+38% vs 2023

Zero-Days em 2024
90

75 explorados ativamente

Patch Tuesday (Média Mensal)
70-159

CVEs Microsoft

CVSS Crítico
9.0-10.0

Remediação urgente

⚠️ Urgência Crescente

Com o aumento de 38% em novos CVEs e 75 zero-days explorados em ambiente real em 2024, a gestão proativa de vulnerabilidades tornou-se crítica para conformidade NIS2 e proteção organizacional.

1. Âmbito e Objetivos

1.1 Âmbito

Esta política aplica-se a [todos os ativos de TI e OT da organização], incluindo:

1.2 Objetivos

📊 Métricas de Sucesso

MTTR alvo: [<48h para Critical, <7d para High]

Patch compliance: [≥95% dentro dos SLAs]

Scan coverage: [100% de ativos críticos escaneados semanalmente]

2. Definições e Terminologia

Termo Definição Exemplo
CVE Common Vulnerabilities and Exposures - identificador único para vulnerabilidades conhecidas CVE-2024-12345
CVSS Common Vulnerability Scoring System - escala 0.0-10.0 para severidade CVSS 9.8 (Critical)
Zero-Day Vulnerabilidade explorada antes de patch estar disponível Exploits ativos sem correção
Patch Atualização de software que corrige vulnerabilidade Security update KB5034441
Exploit Código ou técnica que aproveita vulnerabilidade PoC publicado no GitHub
EPSS Exploit Prediction Scoring System - probabilidade de exploração (0-100%) EPSS 85% = alta probabilidade
KEV Known Exploited Vulnerabilities - lista CISA de CVEs explorados CVE na lista KEV = prioridade máxima
Patch Tuesday Segunda terça-feira do mês - patches Microsoft Próximo: [data]

2.1 Classificação de Severidade (CVSS v3.1)

Severidade CVSS Score Descrição Exemplos
CRITICAL 9.0 - 10.0 Exploração trivial, impacto máximo, RCE sem autenticação Log4Shell, EternalBlue, BlueKeep
HIGH 7.0 - 8.9 Exploração possível, impacto significativo, requer privilégios baixos SQLi, XSS crítico, escalação de privilégios
MEDIUM 4.0 - 6.9 Exploração complexa ou impacto limitado Information disclosure, DoS local
LOW 0.1 - 3.9 Difícil exploração e impacto mínimo Configurações inseguras não críticas

3. Responsabilidades

3.1 Equipa de Segurança ([CISO/Security Team])

3.2 Operações de TI ([IT Operations/SysAdmins])

3.3 Asset Owners ([Departamentos de Negócio])

3.4 Gestão de Fornecedores ([Procurement/Vendor Management])

🎯 RACI Matrix Sugerida

Identificação: Security (R), IT Ops (C), Asset Owners (I)

Priorização: Security (R/A), IT Ops (C), CISO (A)

Remediação: IT Ops (R), Security (C), Asset Owners (A)

Validação: Security (R), IT Ops (C)

4. Inventário de Ativos

Manter inventário completo e atualizado é pré-requisito para gestão eficaz de vulnerabilidades.

4.1 Informação Obrigatória por Ativo

4.2 Ferramentas de Descoberta

Tipo de Ativo Ferramenta/Método Frequência
Servidores e workstations [Active Directory, SCCM, Intune] Sincronização diária
Dispositivos de rede [Network scanning, SNMP] Semanal
Aplicações web [CMDB, deployment pipeline] Cada deployment
Cloud assets [AWS Config, Azure Resource Graph] Tempo real (API)
Shadow IT [CASB, network traffic analysis] Contínuo

4.3 Classificação de Criticidade

Ativos são classificados com base em [CIA triad + business impact]:

Tier Descrição Exemplos SLA Scanning
Tier 1 - Crítico Interrupção causa impacto severo no negócio ou exposição de dados críticos Payment systems, controladores SCADA, bases de dados de clientes Semanal
Tier 2 - Importante Impacto significativo mas não crítico Aplicações internas, file servers, email Quinzenal
Tier 3 - Padrão Sistemas de suporte com impacto limitado Workstations de utilizadores, sistemas de teste Mensal

⚠️ Atenção: Ativos Não Inventariados

Ativos fora do inventário não podem ser escaneados ou protegidos. Implementar processos para detetar e registar shadow IT e sistemas não autorizados.

5. Scanning de Vulnerabilidades

5.1 Tipos de Scanning

Tipo Método Âmbito Frequência
Authenticated Scan Com credenciais (agent ou agentless) Servidores, workstations Semanal (Tier 1), Quinzenal (Tier 2), Mensal (Tier 3)
Network Scan Sem credenciais, port scanning Dispositivos de rede, firewalls Semanal
Web App Scan (DAST) Dynamic testing de aplicações web Aplicações internet-facing Cada release + mensal
SAST (Code Analysis) Análise estática de código Aplicações desenvolvidas internamente Cada commit (CI/CD)
SCA (Dependency) Software Composition Analysis Bibliotecas de terceiros, containers Cada build + diário
Cloud Posture Misconfigurations cloud AWS/Azure/GCP resources Contínuo (API)

5.2 Ferramentas de Scanning

Plataforma principal: [Tenable Nessus / Qualys VMDR / Rapid7 InsightVM]

Ferramentas complementares:

5.3 Configuração de Scans

📋 Checklist de Configuração

  • ✅ Credenciais configuradas com privilégios adequados (least privilege + acesso de leitura)
  • ✅ Scans agendados fora de horas de pico ([2h-6h])
  • ✅ Rate limiting configurado para não impactar produção
  • ✅ Whitelist de IPs dos scanners em firewalls
  • ✅ Safe checks ativado para sistemas críticos (evitar DoS)
  • ✅ Plugin feed atualizado diariamente
  • ✅ Notificações automáticas para CVEs críticos (CVSS ≥9.0)

5.4 Gestão de Falsos Positivos

Procedimento para análise e supressão de falsos positivos:

  1. Validação manual: Analista de segurança confirma se é falso positivo
  2. Documentação: Justificação técnica em [ticket system]
  3. Aprovação: Security lead aprova supressão
  4. Revisão periódica: Revisitar falsos positivos a cada [90 dias]
  5. Auditoria: Log de todas as supressões para compliance

6. Avaliação de Risco

Nem todas as vulnerabilidades têm o mesmo risco. Priorização considera múltiplos fatores além de CVSS.

6.1 Fatores de Priorização

Fator Descrição Peso
CVSS Base Score Severidade intrínseca da vulnerabilidade (0.0-10.0) 30%
Exploitabilidade (EPSS) Probabilidade de exploit nos próximos 30 dias (0-100%) 25%
Exploit Disponível PoC público, exploit kit, KEV listing 20%
Criticidade do Ativo Tier 1/2/3 + impacto no negócio 15%
Exposição Internet-facing vs internal, segmentação 10%

6.2 Matriz de Risco

Combinação de likelihood (EPSS + exploit) e impact (CVSS + asset criticality):

Likelihood ↓ / Impact → Baixo Médio Alto Crítico
Muito Provável Médio Alto Crítico Crítico
Provável Baixo Médio Alto Crítico
Possível Muito Baixo Baixo Médio Alto
Improvável Muito Baixo Muito Baixo Baixo Médio

6.3 Fontes de Threat Intelligence

Monitorizar para contextualizar risco:

🚨 Indicadores de Risco Máximo

Prioridade IMEDIATA se qualquer um dos seguintes se aplicar:

  • CVE na lista CISA KEV (exploração confirmada)
  • CVSS ≥9.0 + EPSS ≥50%
  • Ransomware groups ativamente a explorar
  • Zero-day sem patch disponível
  • Ativo Tier 1 internet-facing

🧮 Calculadora CVSS v3.1

Calcule o score CVSS base (0.0-10.0) com base nos vetores de ataque.

Calculadora de Prioridade de Patching

Determine a prioridade e SLA com base em múltiplos fatores de risco.

7. Gestão de Patches

7.1 SLAs de Remediação por Severidade

Severidade SLA Padrão SLA Internet-Facing SLA com Exploit Ativo
CRITICAL [24-48 horas] [12-24 horas] [4-12 horas]
HIGH [7 dias] [3-5 dias] [24-48 horas]
MEDIUM [30 dias] [14 dias] [7 dias]
LOW [90 dias] [60 dias] [30 dias]

7.2 Processo de Patch Management

  1. Notificação: Patch Tuesday (Microsoft), vendor advisories, CVE feeds
  2. Avaliação: Severidade, aplicabilidade, dependências
  3. Teste: Deploy em ambiente de [dev/staging]
    • Validação funcional (smoke tests)
    • Verificação de compatibilidade
    • Performance testing (se aplicável)
  4. Aprovação: Change Advisory Board para sistemas críticos
  5. Deployment: Faseado (pilot → produção)
    • Fase 1: [10% dos sistemas]
    • Fase 2: [50% após 24h]
    • Fase 3: [100% após 48h]
  6. Validação: Re-scan para confirmar remediação
  7. Documentação: Tickets fechados, métricas atualizadas

7.3 Patch Sources e Ferramentas

Tipo de Sistema Ferramenta de Patching Método
Windows Servers/Workstations [WSUS, SCCM, Intune] Automated deployment com approval
Linux Servers [Ansible, Puppet, yum/apt] Configuration management
Aplicações de Terceiros [Chocolatey, Ninite, vendor tools] Package managers
Dispositivos de Rede Vendor portals (Cisco, Fortinet, etc.) Manual com change control
Cloud Resources [AWS Systems Manager, Azure Update Management] Automated com maintenance windows
Containers [Rebuild images, Kubernetes rolling updates] CI/CD pipeline

7.4 Exceções e Desvios

Quando patches não podem ser aplicados no SLA:

  1. Justificação técnica: Incompatibilidade, impacto em produção, etc.
  2. Mitigação compensatória: Implementar controlos alternativos
    • WAF rules para aplicações web
    • Firewall rules para bloquear vetores de ataque
    • IDS/IPS signatures
    • Desativar funcionalidade vulnerável
    • Segmentação de rede adicional
  3. Aceitação de risco: Asset owner assina aceite formal
  4. Prazo de resolução: Definir data limite para patch ou descomissionamento
  5. Revisão periódica: Exceções revistas mensalmente

📅 Patch Tuesday e Calendário

Microsoft Patch Tuesday: Segunda terça-feira de cada mês

Próximos Patch Tuesdays 2025:

  • Janeiro: 14/01
  • Fevereiro: 11/02
  • Março: 11/03
  • Abril: 08/04

Out-of-band patches: Zero-days e emergências fora do calendário

8. Resposta a Zero-Days

Vulnerabilidades exploradas ativamente antes de patch estar disponível requerem resposta de emergência.

8.1 Definição de Zero-Day (para esta política)

8.2 Procedimento de Emergência

🚨 Resposta em 4 Horas

Prazo desde notificação até implementação de mitigações iniciais.

  1. T+0h - Alerta: Notificação de zero-day (CERT, vendor, SIEM alerts)
    • Equipa de segurança notificada via [PagerDuty/Slack/SMS]
    • CISO informado
    • Incident response ativado
  2. T+1h - Assessment: Avaliar impacto
    • Identificar ativos afetados (query no CMDB/scanner)
    • Determinar exploitabilidade e vetores de ataque
    • Verificar se já há comprometimento (SIEM/EDR logs)
  3. T+2h - Contenção: Mitigações imediatas
    • Opção 1: Desativar serviço/funcionalidade vulnerável
    • Opção 2: Isolar sistemas afetados (VLAN separada)
    • Opção 3: Bloquear vetores de ataque (firewall, WAF)
    • Opção 4: Aplicar workaround do vendor (se disponível)
  4. T+4h - Validação: Confirmar eficácia das mitigações
    • Tentar exploit em ambiente de teste
    • Validar que controlos bloqueiam ataque
    • Monitorização reforçada (SIEM alerts, threat hunting)
  5. T+24h - Patch: Aplicar patch oficial quando disponível
    • Teste acelerado (skip full regression)
    • Emergency change approval
    • Deploy prioritário
  6. T+48h - Normalização: Restaurar operações
    • Remover mitigações temporárias
    • Re-scan para validar remediação
    • Post-incident review

8.3 Contactos de Emergência

Função Nome Contacto 24/7 Backup
CISO [Nome] [Telefone/Email] [Backup]
Security Operations Lead [Nome] [Telefone/Email] [Backup]
IT Operations Manager [Nome] [Telefone/Email] [Backup]
Network Engineering [Nome] [Telefone/Email] [Backup]
CERT Nacional [CERT-PT] [cert@cert.pt] -

8.4 Exemplos Históricos de Zero-Days

CVE Nome Produto Impacto Mitigação Inicial
CVE-2021-44228 Log4Shell Apache Log4j RCE sem autenticação Disable JNDI lookups, WAF rules
CVE-2021-40444 MSHTML Microsoft Office RCE via malicious docs Disable ActiveX controls
CVE-2023-34362 MOVEit Transfer Progress Software SQL injection, data exfiltration Take offline, restrict access
CVE-2024-3400 GlobalProtect Palo Alto Networks Command injection Threat prevention signatures

9. Reporting e Métricas

9.1 KPIs Obrigatórios

Métrica Definição Target Frequência
MTTR (Mean Time To Remediate) Tempo médio desde descoberta até remediação [Critical: <48h, High: <7d] Mensal
Patch Compliance % % de patches aplicados dentro do SLA [≥95%] Mensal
Open Critical CVEs Número de CVEs críticos ainda não remediados [<10] Semanal
Scan Coverage % % de ativos escaneados vs inventário total [≥98%] Mensal
Mean Time To Detect (MTTD) Tempo desde CVE publicado até descoberto internamente [<24h para Critical] Mensal
Risk Score Trend Score agregado de risco (CVSS * ativos afetados) [Tendência descendente] Mensal

9.2 Dashboards e Visualizações

Plataforma de reporting: [PowerBI / Tableau / Kibana]

Dashboards obrigatórios:

9.3 Relatórios Periódicos

Relatório Audiência Conteúdo Frequência
Vulnerability Summary CISO, Security Team Novas vulnerabilidades, status de remediação, alertas críticos Semanal
Patch Compliance Report IT Management, CAB Patches aplicados, SLA compliance, exceções Mensal
Risk Dashboard Executive Board Risk trends, conformidade NIS2, incidentes de vulnerabilidades Trimestral
Audit Report Auditores, Reguladores Evidência de scanning, patching, documentação de exceções Anual (ou on-demand)

9.4 Alertas Automáticos

Configurar notificações automáticas para eventos críticos:

10. Coordenação com Fornecedores

10.1 Responsabilidades dos Fornecedores

Todos os contratos de software/hardware devem incluir cláusulas de vulnerability management:

10.2 Vendor Risk Assessment

Avaliar fornecedores com base em histórico de vulnerabilidades:

Critério Bom Aceitável Preocupante
Tempo médio para patch Critical <7 dias 7-14 dias >14 dias
% CVEs com PoC público <10% 10-25% >25%
Comunicação proativa Notificação antes de disclosure Notificação no dia Sem notificação ativa
Qualidade de advisories Detalhados com workarounds Informação básica Escassos ou vagos

10.3 Contactos de Segurança por Fornecedor

Manter lista atualizada de PSIRTs (Product Security Incident Response Teams):

Fornecedor Produto Contacto PSIRT Advisory Feed
Microsoft [Windows, Office, Azure] secure@microsoft.com https://msrc.microsoft.com
[Vendor 2] [Produto] [Email/Portal] [RSS/Email]
[Vendor 3] [Produto] [Email/Portal] [RSS/Email]

10.4 Escalation com Fornecedores

Procedimento quando fornecedor não cumpre SLAs de patching:

  1. T+0: Contactar PSIRT via email/portal (registar ticket)
  2. T+24h: Follow-up se sem resposta + notificar account manager
  3. T+48h: Escalation a VP/Director level do fornecedor
  4. T+72h: Considerar mitigações compensatórias ou substituição de produto
  5. T+7d: Revisão contratual e avaliação de breach de SLA

📝 Template de Email para Vendor Escalation

Subject: URGENT - Critical CVE [CVE-XXXX-XXXXX] Affecting [Product]

Dear [Vendor] PSIRT,

We have identified CVE-[XXXX-XXXXX] (CVSS [score]) affecting [product/version] in our production environment. This vulnerability is [actively exploited/has public PoC] and poses significant risk.

Request:
1. ETA for official patch
2. Temporary workaround/mitigation
3. Indicators of compromise (if applicable)

Our internal SLA requires remediation within [timeframe]. Please respond within 24h.

Ticket #: [number]
Severity: Critical
Contact: [your contact info]

🔄 Rastreador de Ciclo de Vida de Vulnerabilidades

Checklist completa desde descoberta até remediação - 20 passos essenciais.

Aprovação e Controlo de Versões

Campo Informação
Versão do Documento [1.0]
Data de Criação [DD/MM/AAAA]
Última Revisão [DD/MM/AAAA]
Próxima Revisão [DD/MM/AAAA - anual]
Owner da Política [CISO / Diretor de Segurança]
Aprovado por [CEO / Board]
Âmbito de Aplicação [Toda a organização]
Compliance Framework NIS2, ISO 27001, NIST Cybersecurity Framework

Histórico de Revisões

Versão Data Alterações Autor
1.0 [DD/MM/AAAA] Versão inicial baseada em dados 2024-2025 [Nome]
[1.1] [DD/MM/AAAA] [Descrição de alterações] [Nome]

📚 Referências e Recursos adicionais