Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Blog da Tenable

Inscrever-se
  • Twitter
  • Facebook
  • LinkedIn

As organizações estão vulneráveis a ataques devido ao foco limitado em CVEs

As organizações estão vulneráveis a ataques devido ao foco limitado em CVEs

CWEs e outras vulnerabilidades precisam de um painel único para a avaliação completa do risco cibernético 

Um número crescente de profissionais de segurança cibernética evoluiu seus programas de gerenciamento de vulnerabilidades legado para incorporar a priorização das iniciativas de correção com base nas vulnerabilidades que representam o maior risco para a organização. Embora seja certamente um passo na direção certa, para a maioria das organizações, significa focar exclusivamente em Common Vulnerabilities and Exploits (CVEs). 

A maioria esmagadora do setor de segurança cibernética acredita que CVEs e vulnerabilidades são a mesma coisa — termos que podem ser usados de forma intercambiável. Porém, o termo "vulnerabilidade" pode ser definido como: uma deficiência em um sistema da informação, nos procedimentos de segurança do sistema, nos controles internos ou na implementação que pode ser explorada ou acionada por uma fonte de ameaça. Em outras palavras, uma vulnerabilidade é qualquer elemento que deixe sua organização suscetível a um ataque cibernético. 

Embora uma CVE sem patches certamente se encaixe na definição acima, não é a única. Os adversários pouco se importam em como vão entrar; o que eles querem é entrar. Eles escolherão a via de menor resistência para obter o acesso que puderem. Um ladrão pode ter preferência pela porta dos fundos, mas entrará feliz por uma janela térrea aberta se a oportunidade aparecer. Por isso, é essencial descobrir e compreender todas as suas vulnerabilidades e então desenvolver um plano abrangente para abordá-las.

Esta lista não está completa, mas aqui estão algumas vulnerabilidades graves a serem consideradas:

  • Common Weakness Enumeration (CWE);
  • Top 10 do Open Web Application Security Project (OWASP);
  • Vulnerabilidades de dia zero;
  • Erros ou configurações incorretas do gerenciamento de acesso;
  • Configurações incorretas de rede/infraestrutura;
  • Configurações incorretas acidentais ou intencionais em ambientes industriais.

Cada uma dessas vulnerabilidades ou falhas ocorre em áreas muito diferentes da superfície de ataque e apresenta um conjunto ímpar de desafios que requerem habilidades distintas para serem efetivamente gerenciadas. Vulnerabilidades em ativos de hardware de ambientes de TI tradicionais costumam ser CVEs que foram previamente identificadas e definidas; então, os profissionais de segurança podem determinar o nível de risco que cada uma representa para a organização e a área de TI pode começar a trabalhar diretamente para neutralizar a ameaça com os patches apropriados e outros métodos de correção prescritos.

Por outro lado, CWEs são as vulnerabilidades predominantes encontradas em aplicações Web personalizadas, aplicações compiladas e hardware. As CWEs representam o tipo ou a categoria subjacente de uma vulnerabilidade, em vez de uma instância específica. Na verdade, cada instância de uma CWE costuma ser exclusiva — isso significa que as iniciativas de correção devem ser personalizadas para cada instância. O número de CVEs baseadas em hardware é muito superior ao número de CWEs baseadas em aplicações, mas uma CWE pode precisar de muito mais tempo e recursos para mitigação efetiva.

Lembre-se de que esses são apenas dois exemplos entre os vários tipos de vulnerabilidades com que as organizações se deparam. Somem-se a elas os ataques de dia zero e a ampla variedade de configurações incorretas que provavelmente existem ao longo da superfície de ataque, e logo haverá vulnerabilidades demais para as equipes de segurança gerenciarem com eficácia. É particularmente difícil, porque a maioria usa ferramentas diferentes para cada tipo de vulnerabilidade e avalia várias delas manualmente.

Talvez o aspecto mais difícil de gerenciar com eficácia todas as vulnerabilidades seja, antes de mais nada, descobrir e avaliá-las. Como cada tipo de vulnerabilidade é único, costumam ser necessárias ferramentas especializadas para identificá-las adequadamente. As ferramentas de gerenciamento de vulnerabilidades são excelentes para CVEs, mas você precisará de um verificador de aplicações para as suas aplicações Web. Da mesma forma, os ambientes industriais precisam de ferramentas especialmente projetadas para esse ambiente. E, claro, as configurações incorretas variam drasticamente de acordo com o ambiente ou o grupo de ativos que está sendo avaliado.

É quase impossível avaliar manualmente e priorizar todos esses dados diferentes, originados de várias áreas da superfície de ataque, com base nos que representam o maior risco imediato para a organização. Para ter sucesso, as equipes precisam de uma só plataforma que possa unificar todos esses dados e avaliá-los juntos usando algoritmos de machine learning, inteligência contextual e análise preditiva para ajudar a priorizar o que deve ser corrigido primeiro.

Uma plataforma abrangente, que descobre e avalia os dados de segurança da organização, permite a você:

  • Ir além das CVEs e entender o ambiente completo com precisão; 
  • Ver todas as vulnerabilidades em contexto para tomar decisões mais fortes de mitigação de riscos;
  • Alinhar melhor as iniciativas da equipe de segurança com públicos não técnicos do negócio, demonstrando assim uma maior relevância para a organização;
  • Progredir os processos de segurança para que sejam mais proativos e estratégicos.

Portanto, embora avaliar e corrigir as CVEs seja certamente uma etapa essencial para reduzir o risco cibernético, uma estratégia de segurança abrangente requer que você aborde todas as suas deficiências.

Saiba mais

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

Teste gratuito Comprar agora
Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.