Aqui estão as respostas para 16 perguntas sobre priorização preditiva
No início deste ano, a Tenable introduziu a Priorização Preditiva, um processo inovador baseado em ciências de dados que reprioriza cada vulnerabilidade com base na probabilidade dela ser explorada em um ataque. Aqui estão as respostas para suas 16 perguntas mais urgentes sobre o que esse novo recurso significa para seu gerenciamento de vulnerabilidades.
Foram divulgadas 16.500 novas vulnerabilidades em 2018, e a CVSS categorizou a maioria como alta ou crítica. Com o aumento das vulnerabilidades, como será possível identificar as maiores ameaças cibernéticas aos seus negócios e saber o que corrigir primeiro? A Priorização Preditiva é um processo inovador que muda a forma como as organizações lidam com a sobrecarga de vulnerabilidades, permitindo que você se concentre na correção das vulnerabilidades mais importantes. Quer saber como a Priorização Preditiva funciona? Descubra as respostas para estas e outras perguntas frequentes.
P. O que é Priorização Preditiva?
R. A Priorização Preditiva é o processo de repriorização de vulnerabilidades com base na probabilidade de que elas sejam usadas em um ataque.
P. Qual é a diferença entre a Priorização Preditiva e uma classificação de prioridade de vulnerabilidade (VPR)?
R. A saída do processo de Priorização Preditiva é a Classificação de Prioridade de Vulnerabilidade (VPR), que indica a prioridade de correção para uma vulnerabilidade individualmente. A VPR opera em uma escala de zero a 10, sendo 10 a gravidade mais alta. Assista ao vídeo abaixo para saber mais sobre a VPR.
P. Por que eu preciso de uma pontuação de VPR? O CVSS não prioriza as vulnerabilidades?
R. O CVSS faz um bom trabalho ao capturar o escopo e o impacto das vulnerabilidades e oferece uma explicação adequada sobre o que poderia acontecer caso uma vulnerabilidade fosse explorada. Além disso, ele fornece uma base para estimar a probabilidade de que uma vulnerabilidade seja explorada. Entretanto, sua aplicação atual não oferece a granularidade necessária para uma priorização eficiente. Aproximadamente 60% de todos os CVEs são classificados como alto ou crítico pelo CVSS.
A Priorização Preditiva se mantém fiel à estrutura do CVSS (vide figura abaixo), mas aumenta sua eficiência ao substituir os componentes de explorabilidade e maturidade do código de exploração do CVSS por uma pontuação de ameaça produzida por aprendizado de máquina, que é alimentado por um conjunto diversificado de fontes de dados. Ou seja, as empresas podem tomar decisões de correção com base nas vulnerabilidades que:
- Têm mais chances de serem exploradas
- Terão um impacto significativo, se exploradas
P. As pontuações da VPR substituem as pontuações do CVSS?
R. Não. Recomendamos que você complemente seus processos existentes de priorização (ex. CVSS) com a VPR.
P. Como as faixas de gravidade da VPR se comparam às faixas de gravidade do CVSS?
R. Os mesmos cortes são usados no CVSS e na VPR para criar faixas. Contudo, as distribuições são muito diferentes, resultado do processo de priorização (veja a figura interativa abaixo).
P. Quais vulnerabilidades obtêm uma VPR?
R. Atualmente, a Priorização Preditiva produz uma VPR para todas as vulnerabilidades que têm um CVE publicado no U.S. National Vulnerability Database (NVD). Pretendemos aumentar o escopo das vulnerabilidades pontuadas pela Priorização Preditiva no futuro.
P. A (pontuação da) VPR pode mudar?
R. Sim, a Priorização Preditiva recalcula VPRs para cada CVE diariamente. Elas podem ou não mudar, dependendo do panorama das ameaças.
P. A Priorização Preditiva gera uma VPR para CVEs que não têm pontuação do CVSS?
R. Sim. Se um CVE não tiver métricas/pontuações do CVSS publicadas, a Priorização Preditiva gerará uma VPR usando as informações disponíveis (ex.: a descrição da vulnerabilidade), que serão inseridas em um modelo que prevê as pontuações com base nos termos que aparecem no texto bruto.
Por exemplo, se a descrição da vulnerabilidade contiver os termos "Adobe" e "execução de código arbitrário", o modelo poderá prever altas pontuações do CVSS devido a atividades passadas em vulnerabilidades com características semelhantes. Quando as pontuações reais do CVSS são disponibilizadas, elas substituem nossos valores previstos. Isso é vantajoso, já que costuma levar 45 dias para o NVD publicar as pontuações do CVSS após a publicação da vulnerabilidade.
P. Ajude-me a entender as pontuações da VPR. O que uma VPR crítica (>9) significa de verdade? E o que uma VPR baixa significa?
R. Em termos gerais, uma VPR crítica significa que a vulnerabilidade em questão tem uma alta probabilidade de ser explorada e/ou, se explorada com sucesso, teria um impacto significativo.
Por outro lado, a Priorização Preditiva atribui uma VPR baixa a vulnerabilidades com probabilidade menor de exploração e/ou cujo impacto seria baixo, se exploradas com sucesso. No entanto, tenha em mente que nunca podemos afirmar com 100% de certeza que uma vulnerabilidade não será explorada.
P. A Tenable diz que a Priorização Preditiva vai me ajudar a me concentrar nos 3% que mais importam. O que esses 3% significam?
R. Esses 3% correspondem às vulnerabilidades com VPR alta ou crítica e dão uma ideia de quais vulnerabilidades devem ser priorizadas para correção. Recomendamos que você comece a corrigir vulnerabilidades com VPRs críticas e altas e vá seguindo a lista. De forma alguma estamos sugerindo que você deva ignorar os outros 97% das vulnerabilidades.
P. Como a VPR se distingue da pontuação temporal do CVSS?
R. A principal diferença entre os dois é que a VPR prevê o futuro, enquanto o CVSS apenas analisa o passado. A VPR não apenas considera a disponibilidade e a funcionalidade do código de exploração, mas também prevê a probabilidade de exploração no futuro próximo. A VPR também é mais granular na forma como acomoda a exploração.
P. "Preditiva" parece interessante, mas por que é importante?
R. Em vez de apenas observar dados históricos para pontuar vulnerabilidades, o uso de dados históricos e um algoritmo baseado em aprendizado de máquina preditivo nos ajuda a antecipar e planejar o que provavelmente vai acontecer (em vez do que já aconteceu). Ao gerenciar riscos, é importante saber se alguma coisa aconteceu no passado, mas é muito mais importante saber o que provavelmente acontecerá no futuro.
P. Existem diferenças entre ser explorável e ser explorado?
R. Sim. Explorável significa simplesmente que existe uma exploração disponível e que pode ser tão básica quanto uma prova de conceito não confiável publicada em um arquivo público. Porém, uma vulnerabilidade explorada é grave, e isso significa que uma exploração teve sucesso ao violar uma vulnerabilidade.
P. E se a vulnerabilidade já tiver sido explorada?
R. Embora uma vulnerabilidade possa ter sido explorada no passado, a probabilidade de ser explorada ativamente (isto é, usada em ataques cibernéticos) no futuro pode mudar com o tempo.
P. Vocês analisam o histórico completo de todas as vulnerabilidades?
R. Nós analisamos todas as informações disponíveis desde a publicação da vulnerabilidade.
P. Quais são as entradas no modelo de aprendizado de máquina para a pontuação de ameaças?
R. Atualmente, a Priorização Preditiva usa mais de 150 recursos distintos como entradas no modelo de aprendizado de máquina para produzir a pontuação de ameaça. Um recurso (ou entrada) é um atributo de um CVE que nos permite descrevê-lo ou compreendê-lo com mais clareza. Eis alguns exemplos:
- Idade da vulnerabilidade
- Kit de exploração disponível
- Bate-papo na dark web
Em termos gerais, tendemos a agrupar os recursos nestas categorias:
- Padrões de ameaças passadas (ex.: em evidência de exploração no passado, há quanto tempo? com que frequência?);
- Fontes de ameaças passadas (ex.: fontes específicas mostrando evidência de exploração);
- Métricas de vulnerabilidade (métricas de CVSS, como vetor de acesso, complexidade de ataque, pontuação de base etc.);
- Metadados de vulnerabilidade (idade da vulnerabilidade, CVE, fornecedor/software afetado pela vulnerabilidade etc.);
- Explorar a disponibilidade usando dados de inteligência de ameaças (a vulnerabilidade está no banco de dados de exploração? Metasploit?).
Hoje em dia, os dados têm sete tipos de origem:
- Sites sobre segurança da informação
- Blogs
- Divulgação de vulnerabilidades
- Redes sociais
- Fóruns
- Dark web
- Panorama de vulnerabilidades
Explore recursos adicionais de Priorização Preditiva
Elaboramos essas Perguntas Frequentes (FAQs) com base nas perguntas mais comuns dos clientes sobre Priorização Preditiva. Essa publicação será atualizada conforme a necessidade.
Eis alguns recursos que podem ser úteis para você:
- Assista ao webinar sob demanda “Para reduzir sua Cyber Exposure, encontre e corrija (primeiro) os 3% das vulnerabilidades que mais importam”.
- Explore a página de Priorização Preditiva.
Artigos relacionados
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning