As organizações estão vulneráveis a ataques devido ao foco limitado em CVEs
CWEs e outras vulnerabilidades precisam de um painel único para a avaliação completa do risco cibernético
Um número crescente de profissionais de segurança cibernética evoluiu seus programas de gerenciamento de vulnerabilidades legado para incorporar a priorização das iniciativas de correção com base nas vulnerabilidades que representam o maior risco para a organização. Embora seja certamente um passo na direção certa, para a maioria das organizações, significa focar exclusivamente em Common Vulnerabilities and Exploits (CVEs).
A maioria esmagadora do setor de segurança cibernética acredita que CVEs e vulnerabilidades são a mesma coisa — termos que podem ser usados de forma intercambiável. Porém, o termo "vulnerabilidade" pode ser definido como: uma deficiência em um sistema da informação, nos procedimentos de segurança do sistema, nos controles internos ou na implementação que pode ser explorada ou acionada por uma fonte de ameaça. Em outras palavras, uma vulnerabilidade é qualquer elemento que deixe sua organização suscetível a um ataque cibernético.
Embora uma CVE sem patches certamente se encaixe na definição acima, não é a única. Os adversários pouco se importam em como vão entrar; o que eles querem é entrar. Eles escolherão a via de menor resistência para obter o acesso que puderem. Um ladrão pode ter preferência pela porta dos fundos, mas entrará feliz por uma janela térrea aberta se a oportunidade aparecer. Por isso, é essencial descobrir e compreender todas as suas vulnerabilidades e então desenvolver um plano abrangente para abordá-las.
Esta lista não está completa, mas aqui estão algumas vulnerabilidades graves a serem consideradas:
- Common Weakness Enumeration (CWE);
- Top 10 do Open Web Application Security Project (OWASP);
- Vulnerabilidades de dia zero;
- Erros ou configurações incorretas do gerenciamento de acesso;
- Configurações incorretas de rede/infraestrutura;
- Configurações incorretas acidentais ou intencionais em ambientes industriais.
Cada uma dessas vulnerabilidades ou falhas ocorre em áreas muito diferentes da superfície de ataque e apresenta um conjunto ímpar de desafios que requerem habilidades distintas para serem efetivamente gerenciadas. Vulnerabilidades em ativos de hardware de ambientes de TI tradicionais costumam ser CVEs que foram previamente identificadas e definidas; então, os profissionais de segurança podem determinar o nível de risco que cada uma representa para a organização e a área de TI pode começar a trabalhar diretamente para neutralizar a ameaça com os patches apropriados e outros métodos de correção prescritos.
Por outro lado, CWEs são as vulnerabilidades predominantes encontradas em aplicações Web personalizadas, aplicações compiladas e hardware. As CWEs representam o tipo ou a categoria subjacente de uma vulnerabilidade, em vez de uma instância específica. Na verdade, cada instância de uma CWE costuma ser exclusiva — isso significa que as iniciativas de correção devem ser personalizadas para cada instância. O número de CVEs baseadas em hardware é muito superior ao número de CWEs baseadas em aplicações, mas uma CWE pode precisar de muito mais tempo e recursos para mitigação efetiva.
Lembre-se de que esses são apenas dois exemplos entre os vários tipos de vulnerabilidades com que as organizações se deparam. Somem-se a elas os ataques de dia zero e a ampla variedade de configurações incorretas que provavelmente existem ao longo da superfície de ataque, e logo haverá vulnerabilidades demais para as equipes de segurança gerenciarem com eficácia. É particularmente difícil, porque a maioria usa ferramentas diferentes para cada tipo de vulnerabilidade e avalia várias delas manualmente.
Talvez o aspecto mais difícil de gerenciar com eficácia todas as vulnerabilidades seja, antes de mais nada, descobrir e avaliá-las. Como cada tipo de vulnerabilidade é único, costumam ser necessárias ferramentas especializadas para identificá-las adequadamente. As ferramentas de gerenciamento de vulnerabilidades são excelentes para CVEs, mas você precisará de um verificador de aplicações para as suas aplicações Web. Da mesma forma, os ambientes industriais precisam de ferramentas especialmente projetadas para esse ambiente. E, claro, as configurações incorretas variam drasticamente de acordo com o ambiente ou o grupo de ativos que está sendo avaliado.
É quase impossível avaliar manualmente e priorizar todos esses dados diferentes, originados de várias áreas da superfície de ataque, com base nos que representam o maior risco imediato para a organização. Para ter sucesso, as equipes precisam de uma só plataforma que possa unificar todos esses dados e avaliá-los juntos usando algoritmos de machine learning, inteligência contextual e análise preditiva para ajudar a priorizar o que deve ser corrigido primeiro.
Uma plataforma abrangente, que descobre e avalia os dados de segurança da organização, permite a você:
- Ir além das CVEs e entender o ambiente completo com precisão;
- Ver todas as vulnerabilidades em contexto para tomar decisões mais fortes de mitigação de riscos;
- Alinhar melhor as iniciativas da equipe de segurança com públicos não técnicos do negócio, demonstrando assim uma maior relevância para a organização;
- Progredir os processos de segurança para que sejam mais proativos e estratégicos.
Portanto, embora avaliar e corrigir as CVEs seja certamente uma etapa essencial para reduzir o risco cibernético, uma estratégia de segurança abrangente requer que você aborde todas as suas deficiências.
Saiba mais
- Assista ao webinar Vulnerabilities Beyond CVEs. Which are You Missing? (em inglês) https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
- Baixe a publicação Como superar os desafios criados por ferramentas discrepantes de gerenciamento de vulnerabilidades: https://pt-br.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
- Leia Gartner: The Essential Elements of Effective Vulnerability Management (em inglês): https://www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management
Artigos relacionados
- Dashboards
- Risk-based Vulnerability Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning