Aqui estão as respostas para 16 perguntas sobre priorização preditiva

No início deste ano, a Tenable introduziu a Priorização Preditiva, um processo inovador baseado em ciências de dados que reprioriza cada vulnerabilidade com base na probabilidade dela ser explorada em um ataque. Aqui estão as respostas para suas 16 perguntas mais urgentes sobre o que esse novo recurso significa para seu gerenciamento de vulnerabilidades.

Foram divulgadas 16.500 novas vulnerabilidades em 2018, e a CVSS categorizou a maioria como alta ou crítica. Com o aumento das vulnerabilidades, como será possível identificar as maiores ameaças cibernéticas aos seus negócios e saber o que corrigir primeiro? A Priorização Preditiva é um processo inovador que muda a forma como as organizações lidam com a sobrecarga de vulnerabilidades, permitindo que você se concentre na correção das vulnerabilidades mais importantes. Quer saber como a Priorização Preditiva funciona? Obtenha respostas para essa e outras perguntas comuns em Perguntas Frequentes sobre Priorização Preditiva.

P. O que é Priorização Preditiva?

R. A Priorização Preditiva é o processo de repriorização de vulnerabilidades com base na probabilidade de que elas sejam usadas em um ataque.

P. Qual é a diferença entre a Priorização Preditiva e uma classificação de prioridade de vulnerabilidade (VPR)?

R. A saída do processo de Priorização Preditiva é a Classificação de Prioridade de Vulnerabilidade (VPR), que indica a prioridade de correção para uma vulnerabilidade individualmente. A VPR opera em uma escala de zero a 10, sendo 10 a gravidade mais alta. Assista ao vídeo abaixo para saber mais sobre a VPR.

P. Por que eu preciso de uma pontuação de VPR? O CVSS não prioriza as vulnerabilidades?

R. O CVSS faz um bom trabalho ao capturar o escopo e o impacto das vulnerabilidades e oferece uma explicação adequada sobre o que poderia acontecer caso uma vulnerabilidade fosse explorada. Além disso, ele fornece uma base para estimar a probabilidade de que uma vulnerabilidade seja explorada. Entretanto, sua aplicação atual não oferece a granularidade necessária para uma priorização eficiente. Aproximadamente 60% de todos os CVEs são classificados como alto ou crítico pelo CVSS.

A Priorização Preditiva se mantém fiel à estrutura do CVSS (vide figura abaixo), mas aumenta sua eficiência ao substituir os componentes de explorabilidade e maturidade do código de exploração do CVSS por uma pontuação de ameaça produzida por aprendizado de máquina, que é alimentado por um conjunto diversificado de fontes de dados. Ou seja, as empresas podem tomar decisões de correção com base nas vulnerabilidades que:

• Têm mais chances de serem exploradas
• Terão um impacto significativo, se exploradas

P. As pontuações da VPR substituem as pontuações do CVSS?

R. Não. Recomendamos que você complemente seus processos existentes de priorização (ex. CVSS) com a VPR.

P. Como as faixas de gravidade da VPR se comparam às faixas de gravidade do CVSS?

R. Os mesmos cortes são usados no CVSS e na VPR para criar faixas. Contudo, as distribuições são muito diferentes, resultado do processo de priorização (veja a figura interativa abaixo).

P. Quais vulnerabilidades obtêm uma VPR?

R. Atualmente, a Priorização Preditiva produz uma VPR para todas as vulnerabilidades que têm um CVE publicado no U.S. National Vulnerability Database (NVD). Pretendemos aumentar o escopo das vulnerabilidades pontuadas pela Priorização Preditiva no futuro.

P. A (pontuação da) VPR pode mudar?

R. Sim, a Priorização Preditiva recalcula VPRs para cada CVE diariamente. Elas podem ou não mudar, dependendo do panorama das ameaças. Leia a publicação técnica para obter mais informações.

P. A Priorização Preditiva gera uma VPR para CVEs que não têm pontuação do CVSS?

R. Sim. Se um CVE não tiver métricas/pontuações do CVSS publicadas, a Priorização Preditiva gerará uma VPR usando as informações disponíveis (ex.: a descrição da vulnerabilidade), que serão inseridas em um modelo que prevê as pontuações com base nos termos que aparecem no texto bruto.

Por exemplo, se a descrição da vulnerabilidade contiver os termos "Adobe" e "execução de código arbitrário", o modelo poderá prever altas pontuações do CVSS devido a atividades passadas em vulnerabilidades com características semelhantes. Quando as pontuações reais do CVSS são disponibilizadas, elas substituem nossos valores previstos. Isso é vantajoso, já que costuma levar 45 dias para o NVD publicar as pontuações do CVSS após a publicação da vulnerabilidade.

P. Ajude-me a entender as pontuações da VPR. O que uma VPR crítica (>9) significa de verdade? E o que uma VPR baixa significa?

R. Em termos gerais, uma VPR crítica significa que a vulnerabilidade em questão tem uma alta probabilidade de ser explorada e/ou, se explorada com sucesso, teria um impacto significativo.

Por outro lado, a Priorização Preditiva atribui uma VPR baixa a vulnerabilidades com probabilidade menor de exploração e/ou cujo impacto seria baixo, se exploradas com sucesso. No entanto, tenha em mente que nunca podemos afirmar com 100% de certeza que uma vulnerabilidade não será explorada.

P. A Tenable diz que a Priorização Preditiva vai me ajudar a me concentrar nos 3% que mais importam. O que esses 3% significam?

R. Esses 3% correspondem às vulnerabilidades com VPR alta ou crítica e dão uma ideia de quais vulnerabilidades devem ser priorizadas para correção. Recomendamos que você comece a corrigir vulnerabilidades com VPRs críticas e altas e vá seguindo a lista. De forma alguma estamos sugerindo que você deva ignorar os outros 97% das vulnerabilidades.

P. Como a VPR se distingue da pontuação temporal do CVSS?

R. A principal diferença entre os dois é que a VPR prevê o futuro, enquanto o CVSS apenas analisa o passado. A VPR não apenas considera a disponibilidade e a funcionalidade do código de exploração, mas também prevê a probabilidade de exploração no futuro próximo. A VPR também é mais granular na forma como acomoda a exploração.

P. "Preditiva" parece interessante, mas por que é importante?

R. Em vez de apenas observar dados históricos para pontuar vulnerabilidades, o uso de dados históricos e um algoritmo baseado em aprendizado de máquina preditivo nos ajuda a antecipar e planejar o que provavelmente vai acontecer (em vez do que já aconteceu). Ao gerenciar riscos, é importante saber se alguma coisa aconteceu no passado, mas é muito mais importante saber o que provavelmente acontecerá no futuro.

P. Existem diferenças entre ser explorável e ser explorado?

R. Sim. Explorável significa simplesmente que existe uma exploração disponível e que pode ser tão básica quanto uma prova de conceito não confiável publicada em um arquivo público. Porém, uma vulnerabilidade explorada é grave, e isso significa que uma exploração teve sucesso ao violar uma vulnerabilidade.

P. E se a vulnerabilidade já tiver sido explorada?

R. Embora uma vulnerabilidade possa ter sido explorada no passado, a probabilidade de ser explorada ativamente (isto é, usada em ataques cibernéticos) no futuro pode mudar com o tempo.

P. Vocês analisam o histórico completo de todas as vulnerabilidades?

R. Nós analisamos todas as informações disponíveis desde a publicação da vulnerabilidade.

P. Quais são as entradas no modelo de aprendizado de máquina para a pontuação de ameaças?

R. Atualmente, a Priorização Preditiva usa mais de 150 recursos distintos como entradas no modelo de aprendizado de máquina para produzir a pontuação de ameaça. Um recurso (ou entrada) é um atributo de um CVE que nos permite descrevê-lo ou compreendê-lo com mais clareza. Eis alguns exemplos:

• Idade da vulnerabilidade
• Kit de exploração disponível
• Bate-papo na dark web

Em termos gerais, tendemos a agrupar os recursos nestas categorias:

• Padrões de ameaças passadas (ex.: em evidência de exploração no passado, há quanto tempo? com que frequência?);
• Fontes de ameaças passadas (ex.: fontes específicas mostrando evidência de exploração);
• Métricas de vulnerabilidade (métricas de CVSS, como vetor de acesso, complexidade de ataque, pontuação de base etc.);
• Metadados de vulnerabilidade (idade da vulnerabilidade, CVE, fornecedor/software afetado pela vulnerabilidade etc.);
• Explorar a disponibilidade usando dados de inteligência de ameaças (a vulnerabilidade está no banco de dados de exploração? Metasploit?).

 Hoje em dia, os dados têm sete tipos de origem:

• Sites sobre segurança da informação
• Blogs
• Divulgação de vulnerabilidades
• Redes sociais
• Fóruns
• Dark web
• Panorama de vulnerabilidades

Explore recursos adicionais de Priorização Preditiva

Elaboramos essas Perguntas Frequentes (FAQs) com base nas perguntas mais comuns dos clientes sobre Priorização Preditiva. Essa publicação será atualizada conforme a necessidade. É possível fazer download de uma versão das Perguntas Frequentes (FAQs) em formato PDF aqui.

Eis alguns recursos que podem ser úteis para você:

• Faça download do ebook “Três coisas de que você precisa saber sobre a priorização de vulnerabilidades”.
• Assista ao webinar sob demanda “Para reduzir sua Cyber Exposure, encontre e corrija (primeiro) os 3% das vulnerabilidades que mais importam”.
• Leia a publicação técnica “Priorização Preditiva: a ciência de dados permite que você se concentre nos 3% de vulnerabilidades que provavelmente serão exploradas".
• Explore a página de Priorização Preditiva.