Como quantificar a vantagem inicial do invasor
A Tenable Research acaba de publicar um relatório sobre a diferença de tempo entre o momento em que uma exploração é disponibilizada publicamente para uma determinada vulnerabilidade e a primeira vez em que a vulnerabilidade é avaliada.
Para este estudo, analisamos as 50 vulnerabilidades críticas e de alta gravidade mais prevalentes de pouco menos de 200 mil verificações de avaliação de vulnerabilidades em um período de três meses na segunda metade de 2017 para embasar a análise no mundo real. Usamos essas vulnerabilidades para derivar o "tempo para explorar a disponibilidade" e o "tempo para avaliar" para calcular o delta médio.
O delta representa o primeiro movimento que o invasor e o defensor podem fazer nessa corrida. Embora ele não represente o ciclo OODA (observar, orientar, decidir e agir) completo para ambas as partes, ele indica quem teve o melhor início e, em última instância, quem vencerá.
Um delta negativo significa que os invasores têm uma janela de oportunidade para explorar uma vulnerabilidade antes que os defensores sequer se deem conta de estarem em risco.
Os invasores estão à frente na corrida
A nossa análise mostra que o delta mediano foi de -7,3 dias. O tempo médio de exploração foi de 5,5 dias, em comparação com um tempo médio de avaliação de 12,8 dias. Em média, isso dá aos invasores sete dias de vantagem inicial sobre os defensores.
O delta foi negativo em 76% das vulnerabilidades analisadas. Portanto, em uma base de vulnerabilidade por vulnerabilidade, os invasores aproveitam a vantagem de dar o primeiro passo com mais frequência do que deixam de aproveitar.
Geralmente, os casos de delta positivo ocorriam porque a exploração demorou muito para estar disponível, e não pela rápida frequência de verificação dos defensores. É preocupante o fato de que, em 34% das vulnerabilidades analisadas, uma exploração estava disponível no mesmo dia em que a vulnerabilidade foi revelada. Mas fica muito interessante conforme nos aprofundamos nas vulnerabilidades individuais.
Das 50 vulnerabilidades mais prevalentes que analisamos, 24% estão sendo exploradas ativamente na natureza por malware, ransomware ou kits de exploração. Outras 14% eram suficientemente críticas para serem discutidas na mídia. O conjunto de amostras continha vulnerabilidades visadas pelos kits de exploração Disdain e Terror, por ransomware Cerber e StorageCrypt e até mesmo por grupos APT, como o Black Oasis, para instalar o software de vigilância FinSpy.
Como reaver essa vantagem
A maioria dos profissionais de segurança tem o palpite de que estão tentando igualar os níveis, mas ter a quantificação dos leads dos invasores ajuda a determinar o quanto estamos atrasados e o que precisamos fazer para diminuir a distância.
Muitas organizações fazem a avaliação de vulnerabilidades em um ciclo mensal ou até mesmo trimestral. Isso é ocasionado, principalmente, por fatores internos, e não por motivadores externos, como os ciclos de patch mensais definidos pela empresa. Tendemos a esquecer que temos um adversário que dita as regras do engajamento. Embora não tenhamos controle sobre quando ou como o invasor decide atacar, temos controle sobre o nosso próprio ambiente.
A nossa própria análise do comportamento de verificação indica que pouco mais de 25% das organizações fazem avaliações de vulnerabilidades com uma frequência de dois dias ou menos. Esse é um objetivo que pode ser atingido e que diminuirá a vantagem que os invasores têm na maioria das vulnerabilidades. Mas, com a latência inerentemente incorporada ao processo, isso ainda deixa um risco residual que não pode ser eliminado somente através do aumento da frequência de verificação.
Uma abordagem mais eficaz ao gerenciamento de vulnerabilidades e Cyber Exposure não está baseada em um modelo iniciar-parar ou em ciclos discretos. Em vez disso, ela deve estar baseada nos seguintes:
- Avaliação contínua da nossa postura de segurança
- Abordagem proativa a riscos previsíveis
- Reação rápida aos riscos previstos e emergentes
O cenário de ameaças está evoluindo em um ritmo sem precedentes em uma superfície de ataque em plena expansão, necessitando de um processo mais ágil que funcione como um ciclo de feedback. A nova disciplina emergente de SecDevOps já oferece algumas boas práticas estabelecidas. Mas isso também requer que as equipes operacionais e de segurança estejam mais bem alinhadas e cooperem em mais proximidade.
Não devemos subestimar o valor da avaliação de vulnerabilidades ao proporcionar inteligência e percepção situacional de Cyber Exposure e "feedback" no ciclo. Mesmo que não seja possível corrigir todas as vulnerabilidades de uma só vez, a avaliação contínua pode acionar uma correção ad hoc de resposta a emergências ou determinar que controles de mitigação, como controle de acesso, precisam ser aplicados para contornar a demora na correção e a consequente lacuna de exposição.
Acelere o tempo de avaliação das vulnerabilidades
Para obter recomendações de como você pode acelerar o tempo para avaliar vulnerabilidades e receber insights detalhados sobre as nossas análises, faça download do relatório Quantificar as estatísticas da vantagem inicial do invasor.
Artigos relacionados
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
How the regreSSHion Vulnerability Could Impact Your Cloud Environment
July 5, 2024With growing concern over the recently disclosed regreSSHion vulnerability, we’re explaining here what it is, why it’s so significant, what it could mean for your cloud environment and how Tenable Cloud Security can help.
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning