Contexto é tudo: do gerenciamento de vulnerabilidades ao gerenciamento de exposição

O gerenciamento de vulnerabilidades continua sendo um pilar fundamental da segurança cibernética preventiva, mas as organizações ainda enfrentam sobrecarga de vulnerabilidades e ameaças sofisticadas. O novo Exposure Signals da Tenable fornece às equipes de segurança um contexto abrangente, para que elas possam migrar do gerenciamento de vulnerabilidades para o gerenciamento de exposição e priorizar efetivamente exposições de alto risco em sua superfície de ataque complexa.

Uma vulnerabilidade crítica foi divulgada e invasores no mundo todo estão explorando-a ativamente. Sua equipe de gerenciamento de vulnerabilidades entra em ação e determina que a vulnerabilidade está presente em centenas de ativos da sua organização. Quais dos ativos devem ser corrigidos primeiro? Como você prioriza suas iniciativas de correção? Qual seria o critério usado? O tempo está passando, e os hackers estão à espreita.

Historicamente, sua equipe de gerenciamento de vulnerabilidades confiaria em um serviço de pontuações de severidade como o Vulnerability Priority Rating (VPR). Ele é um ótimo começo, mas só fornece um indicador de risco. Para priorizar a correção de forma precisa e eficaz, você precisa considerar uma variedade de outros critérios, como o tipo, o proprietário e a função de um ativo vulnerável; o nível de acesso e os privilégios no ativo; e as vias de ataque críticas em seu ambiente.

Esse tipo de contexto abrangente e holístico permitirá que você priorize corretamente. Contudo, para isso, você precisa de uma abordagem diferente que vá além do gerenciamento de vulnerabilidades tradicional: o gerenciamento de exposição. 

Com o gerenciamento de exposição, sua equipe de gerenciamento de vulnerabilidades seria capaz de identificar o subconjunto de ativos afetados por nossa vulnerabilidade hipotética que, por exemplo, são acessíveis externamente, possuem privilégios em nível de domínio e fazem parte de uma via de ataque crítica. Assim, saberia onde está o maior risco e o que precisa ser corrigido primeiro. Ter esse profundo conhecimento, contexto e visibilidade transforma a equação de avaliação de risco e permite que sua equipe de gerenciamento de vulnerabilidades aja de forma decisiva, rápida e estratégica.

Nesta postagem, descreveremos por que é fundamental que suas equipes de gerenciamento de vulnerabilidades migrem para uma mentalidade de gerenciamento de exposição e explicaremos como a Tenable pode ajudar nesse processo.

Para identificar as vulnerabilidades mais arriscadas, o gerenciamento de vulnerabilidades precisa de um contexto de exposição mais amplo 

No atual cenário de segurança cibernética em evolução, o gerenciamento de vulnerabilidades continua sendo uma das peças fundamentais da estratégia de defesa proativa de uma organização. No entanto, essas equipes ainda têm dificuldade em lidar com o aumento do nível de riscos representado pelo aumento contínuo de Vulnerabilidades e Exposições Comuns (CVEs) e outras falhas.

Muitas equipes de segurança ficam frequentemente sobrecarregadas pelo grande volume de vulnerabilidades e têm recursos limitados para gerenciá-las de forma eficaz. A sofisticação e a velocidade dos agentes de ameaças aumentaram, e os invasores têm mais pontos de entrada e usam novas táticas, técnicas e procedimentos para acessar outras áreas críticas do negócio, demonstrando que os ataques não são mais lineares, mas multifacetados.

É comum que as equipes de segurança enfrentem estas dificuldades:

• Sobrecarga de vulnerabilidades: um problema de longa data que continua piorando. As equipes de segurança estão achando mais difícil do que nunca filtrar a avalanche de CVEs e identificar as áreas do negócio que apresentam maior risco.
   
•  Falta de contexto de exposição para priorização: suas equipes estão tomando decisões sem considerar camadas de contexto. A threat intel e a gravidade da vulnerabilidade são um ótimo começo, mas se limitar a elas não fornece o contexto completo necessário para priorização adequada. 
   
• Resposta de correção lenta: equipes de segurança proativas e reativas dedicam enormes quantidades de tempo para responder a vulnerabilidades críticas. Os recursos são escassos, o que torna mais importante do que nunca que as equipes identifiquem com segurança as exposições de maior risco ao recomendar esforços de correção.

É preciso mudar de uma mentalidade centrada em vulnerabilidades para uma mentalidade centrada em exposição

Conhecer as dificuldades que você enfrenta hoje pode ajudar a esclarecer os benefícios do gerenciamento de exposição. O que separa uma vulnerabilidade de uma exposição são as camadas adicionais de contexto. Ter um contexto multidimensional permite que você entenda não apenas as vulnerabilidades em si, mas seu potencial impacto dentro da superfície de ataque mais ampla. Essa abordagem fornece uma visão mais abrangente da postura de segurança de uma organização ao considerar fatores como threat intel, criticidade de ativos, identidades e acesso, bem como outros elementos de contexto. Com essas informações adicionais, você gasta significativamente menos tempo classificando pilhas de vulnerabilidades semelhantes e pode se concentrar mais na identificação de problemas principais que representam riscos/exposições.

Para aqueles que nunca ouviram falar de gerenciamento de exposição ou estão apenas começando, há muitos benefícios nessa disciplina. Quando se trata da abordagem da Tenable, adotamos a mesma mentalidade com nossa plataforma de gerenciamento de exposição. O objetivo é simples: o gerenciamento de exposição permite que as organizações priorizem os esforços de correção de forma mais eficaz. Ela traz informações que ajudam a desenvolver estratégias para abordar não apenas as vulnerabilidades em si, mas também o surgimento de exposições que podem levar a violações significativas.

O salto da vulnerabilidade para a exposição

Preencher a lacuna entre o gerenciamento de vulnerabilidades e o gerenciamento de exposição exige a conexão do contexto em toda a superfície de ataque. O gerenciamento de vulnerabilidades fornece contexto que prevê a probabilidade de um ataque e exibe os principais motivadores, a idade da vulnerabilidade e as fontes de ameaça. Esses atributos são úteis, mas podemos ir muito além para melhorar nossa eficácia de priorização, o que requer uma visibilidade mais ampla e perspectivas mais profundas sobre a superfície de ataque para entender o panorama geral das exposições.

Especificamente, as equipes de segurança precisam de contexto adicional de:

• Contexto do ativo: há muitos níveis em um ativo que podem ajudar a orientar decisões de priorização. É fundamental entender a criticidade de um ativo em relação ao seu tipo, função, nome do proprietário e suas relações com outros ativos. Até mesmo saber se o ativo está acessível pela internet ou não determinará como sua correção será priorizada.
   
• Identidades: as identidades servem como base para ataques bem-sucedidos, por isso é fundamental contextualizá-las para o gerenciamento de exposição. Entender os níveis de privilégios, direitos e informações do usuário pode ajudar a evitar que invasores obtenham escalonamento de privilégios e se movam lateralmente. Concentrar esforços de priorização em ativos vulneráveis ​​com privilégios de domínio e de administrador é uma prática recomendada essencial para reduzir a probabilidade de uma violação.
   
• Contexto da ameaça: ter vários níveis de contexto de ameaça também é importante para priorizar as exposições. Sabemos que as ameaças mudam com o tempo, portanto, aproveitar a pontuação dinâmica como VPR ou Asset Exposure Score (AES) pode mostrar indicadores de risco. Também podemos trazer contexto da modelagem da via de ataque para influenciar decisões de correção com base na perspectiva do invasor, entendendo o número de vias de ataque críticas ou pontos de estrangulamento em seu ambiente.

Quando os analistas de segurança têm essas informações adicionais, eles podem realmente entender a amplitude e a profundidade da exposição. É assim que a priorização é feita neste novo mundo de gerenciamento de exposição.

Apresentamos o recurso Sinais de Exposição

Para ajudar a facilitar a migração para essa mentalidade de gerenciamento de exposição, desenvolvemos um novo recurso de priorização chamado Exposure Signals. O Exposure Signals está disponível no Tenable One, a plataforma de gerenciamento de exposição da Tenable, e permite que as equipes de segurança tenham um contexto mais abrangente em um local centralizado para uma visão focada do risco. 

Há duas maneiras de usar o novo recurso Exposure Signals. A primeira é acessar uma biblioteca abrangente de sinais pré-criados de alto risco. Além de serem fáceis de consultar, eles sinalizam riscos potenciais em seu ambiente e criam um ótimo ponto de partida para você colocar seus conhecimentos de gerenciamento de exposição em prática. Por exemplo, você pode facilmente ver e consultar: 

• Grupo de administração de domínio em hosts expostos à Internet com vulnerabilidades críticas.
• Dispositivos expostos à Internet via RDP com uma conta de identidade associada com uma senha comprometida.
• Ativos de nuvem com descobertas de gravidade crítica e pontuação de exposição de ativos acima de 700.

O Exposure Signals permite que você monitore o número de violações que sinalizam cenários de alto risco em seu ambiente. Consulte essa lista regularmente para ver como ela muda ao longo do tempo com sua linha de tendências exclusiva. Explore por conta própria ao visualizar o ativo impactado e sua inteligência contextual em nosso módulo de inventário. 

A segunda maneira de usar o Exposure Signals é criando seus próprios sinais usando um compilador de consultas ou uma pesquisa de processamento de linguagem natural (PNL) com tecnologia do ExposureAI. Dessa forma, você pode se concentrar em abrangência ou precisão conforme necessário. Por exemplo, digamos que haja uma nova vulnerabilidade de dia zero que invada o setor, semelhante ao Log4Shell. Você pode facilmente criar um sinal para identificar quais ativos têm a vulnerabilidade, estão voltados para a Internet e têm privilégios de administrador de domínio. Reunimos esses componentes para que você possa entender seu verdadeiro risco e direcionar melhor seus esforços de priorização.

Para saber mais sobre o Tenable One e o Exposure Signals, confira nossa demonstração interativa: