Como quantificar a vantagem inicial do invasor
A Tenable Research acaba de publicar um relatório sobre a diferença de tempo entre o momento em que uma exploração é disponibilizada publicamente para uma determinada vulnerabilidade e a primeira vez em que a vulnerabilidade é avaliada.
Para este estudo, analisamos as 50 vulnerabilidades críticas e de alta gravidade mais prevalentes de pouco menos de 200 mil verificações de avaliação de vulnerabilidades em um período de três meses na segunda metade de 2017 para embasar a análise no mundo real. Usamos essas vulnerabilidades para derivar o "tempo para explorar a disponibilidade" e o "tempo para avaliar" para calcular o delta médio.
O delta representa o primeiro movimento que o invasor e o defensor podem fazer nessa corrida. Embora ele não represente o ciclo OODA (observar, orientar, decidir e agir) completo para ambas as partes, ele indica quem teve o melhor início e, em última instância, quem vencerá.
Um delta negativo significa que os invasores têm uma janela de oportunidade para explorar uma vulnerabilidade antes que os defensores sequer se deem conta de estarem em risco.
Os invasores estão à frente na corrida
A nossa análise mostra que o delta mediano foi de -7,3 dias. O tempo médio de exploração foi de 5,5 dias, em comparação com um tempo médio de avaliação de 12,8 dias. Em média, isso dá aos invasores sete dias de vantagem inicial sobre os defensores.
O delta foi negativo em 76% das vulnerabilidades analisadas. Portanto, em uma base de vulnerabilidade por vulnerabilidade, os invasores aproveitam a vantagem de dar o primeiro passo com mais frequência do que deixam de aproveitar.
Geralmente, os casos de delta positivo ocorriam porque a exploração demorou muito para estar disponível, e não pela rápida frequência de verificação dos defensores. É preocupante o fato de que, em 34% das vulnerabilidades analisadas, uma exploração estava disponível no mesmo dia em que a vulnerabilidade foi revelada. Mas fica muito interessante conforme nos aprofundamos nas vulnerabilidades individuais.
Das 50 vulnerabilidades mais prevalentes que analisamos, 24% estão sendo exploradas ativamente na natureza por malware, ransomware ou kits de exploração. Outras 14% eram suficientemente críticas para serem discutidas na mídia. O conjunto de amostras continha vulnerabilidades visadas pelos kits de exploração Disdain e Terror, por ransomware Cerber e StorageCrypt e até mesmo por grupos APT, como o Black Oasis, para instalar o software de vigilância FinSpy.
Como reaver essa vantagem
A maioria dos profissionais de segurança tem o palpite de que estão tentando igualar os níveis, mas ter a quantificação dos leads dos invasores ajuda a determinar o quanto estamos atrasados e o que precisamos fazer para diminuir a distância.
Muitas organizações fazem a avaliação de vulnerabilidades em um ciclo mensal ou até mesmo trimestral. Isso é ocasionado, principalmente, por fatores internos, e não por motivadores externos, como os ciclos de patch mensais definidos pela empresa. Tendemos a esquecer que temos um adversário que dita as regras do engajamento. Embora não tenhamos controle sobre quando ou como o invasor decide atacar, temos controle sobre o nosso próprio ambiente.
A nossa própria análise do comportamento de verificação indica que pouco mais de 25% das organizações fazem avaliações de vulnerabilidades com uma frequência de dois dias ou menos. Esse é um objetivo que pode ser atingido e que diminuirá a vantagem que os invasores têm na maioria das vulnerabilidades. Mas, com a latência inerentemente incorporada ao processo, isso ainda deixa um risco residual que não pode ser eliminado somente através do aumento da frequência de verificação.
Uma abordagem mais eficaz ao gerenciamento de vulnerabilidades e Cyber Exposure não está baseada em um modelo iniciar-parar ou em ciclos discretos. Em vez disso, ela deve estar baseada nos seguintes:
- Avaliação contínua da nossa postura de segurança
- Abordagem proativa a riscos previsíveis
- Reação rápida aos riscos previstos e emergentes
O cenário de ameaças está evoluindo em um ritmo sem precedentes em uma superfície de ataque em plena expansão, necessitando de um processo mais ágil que funcione como um ciclo de feedback. A nova disciplina emergente de SecDevOps já oferece algumas boas práticas estabelecidas. Mas isso também requer que as equipes operacionais e de segurança estejam mais bem alinhadas e cooperem em mais proximidade.
Não devemos subestimar o valor da avaliação de vulnerabilidades ao proporcionar inteligência e percepção situacional de Cyber Exposure e "feedback" no ciclo. Mesmo que não seja possível corrigir todas as vulnerabilidades de uma só vez, a avaliação contínua pode acionar uma correção ad hoc de resposta a emergências ou determinar que controles de mitigação, como controle de acesso, precisam ser aplicados para contornar a demora na correção e a consequente lacuna de exposição.
Acelere o tempo de avaliação das vulnerabilidades
Para obter recomendações de como você pode acelerar o tempo para avaliar vulnerabilidades e receber insights detalhados sobre as nossas análises, faça download do relatório Quantificar as estatísticas da vantagem inicial do invasor.
Artigos relacionados
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning